セグメントが一つしかないお客様の所で、一部の固定IPのPCからしか、NASの設定画面を開くことができないようにしようと、NASのファイヤーウォールを設定した所、IPアドレスでの指定をすれば、サーバにアクセスできるけど、ブラウジングができない事象が発生しました。(Windowsのネットワークをクリックしてもネットワークに表示されない)
セキュリティ上、ブラウジングができないのは逆にOKな感じですが、見えないと不便といわれたので色々調べてみました。
ファイル共有について参照
??IT
?t?@?C?????L?v???g?R???ASMB??CIFS?̈Ⴂ?𐳂????????ł??Ă??܂????H?i?O?ҁj
Windows?̃t?@?C?????L?T?[?r?X?̎?v?v???g?R???ł???uSMB?v?ƁuCIFS?v?̓?̗p??́A???܂??܂Ȏg??????????Ă??܂????BCIFS?Ƃ????p?ꂪ?g???n?߂?1990?N??㔼?ƁASMB 2.x?^3.x?????錻?݂ł́A...
パケットキャプチャして、パケットを見たところ、WSD(Web Services on Devices)を、設定用のWebポート使用しているのが、わかりました。
その為、HTTPのポートは閉じずに、設定画面はリダイレクトしてHTTPSにアクセスするため、HTTPSのポートだけを閉じたら、うまくネットワーク上に表示されるようになりました。
これは、メーカーによって違うとは思いますので、NASのセキュリティ対策で、ポートの開け閉めする時は、「SSDP」(Simple Service Discovery Protocol)、「WSD」(WS-Discovery)、「LLTD」(Link-Layer Topology Discovery)、「LLMNR」(Link-Local Multicast Name Resolution)の事は理解する必要があるのを、理解した感じです。
コメント