- 締切済み
RTX1000でのポート解放について。
NTT西日本Bフレッツで接続しています。 現状のconfigは ip route default gateway pp 1 ip lan1 address 192.168.1.200/24 ip lan1 nat descriptor 2 ip lan2 secure filter in 200017 200018 ip lan2 secure filter out dynamic 200098 200099 ip lan2 intrusion detection in on reject=on ip lan2 intrusion detection out on reject=on pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname ID PAWWRD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1438 ip pp nat descriptor 1 pp enable 1 ip filter 200014 pass * * icmp * * ip filter 200015 pass * * established * * ip filter 200016 pass * * tcp * ident ip filter 200017 pass * 192.168.1.201 tcp * 26508 ip filter 200018 pass * 192.168.1.201 udp * 26508 ip filter 200099 pass * * * * ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1 masquerade syslog debug on dhcp service server dhcp scope 1 192.168.1.201-192.168.1.254/24 dns server pp 1 dns private address spoof on httpd host 192.168.1.1-192.168.1.254 としています。 ip filter 200017 pass * 192.168.1.201 tcp * 26508 ip filter 200018 pass * 192.168.1.201 udp * 26508 で特定ポートを解放しているつもりですが。。。 ip lan2 secure filter in 200017 200018 で設定も反映しています。 どこが間違っているかご教示頂きたいと存じます。
- mmiyamoto2
- お礼率40% (11/27)
- ネットワーク
- 回答数20
- ありがとう数26
- みんなの回答 (20)
- 専門家の回答
みんなの回答
- invalid
- ベストアンサー率61% (67/109)
No18補足> pingの疎通はありました。 DMZ⇒LANおよびLAN⇒DMZの両方向ともpingが通ったということでしょうか? No18補足> 2009/03/30 06:27:02: [INSPECT] PP[01][out][101] TCP 192.168.10.2:49375 > 118.214.10.84:80 (2009/03/30 06:22:13) No18補足> 2009/03/30 06:27:12: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:62883 > 192.168.1.4:161 No18補足> とログが残っておりました。 1行目はDMZからWAN向けのhttp(80)アクセスが通過したというログなので関係しません。 2行目の[192.168.1.4:161]宛てのパケットはkuroizellさんの云われるとおり SNMPというプロトコルの通信になりますので、意図した通信でなければ無視 で良いですが必要なら通過フィルタを追加してください。(rejectされてます) No18補足> 疎通があるという事はやはりご指摘の通りルーティングの問題なのでしょうか? 時間的な余裕ができたので手元のRTX1100に同じ設定をして動作させてみました。 その環境ではNo.15の補足欄に書かれたconfigでDMZ⇒LAN間の方向で疎通 pingおよびファイル共有ともに可能でした。よってconfigだけ(※)の問題ではなく ルーティングの方法に問題ありと考えます。 (※意味深な書き方をしていますが、ルーティングの設定もconfig次第なので…) No18補足> ルータに対する変更はあまりしたくないので(2)で対応可能であればと考えています。 192.168.1.3のデフォルトGWの指定を192.168.1.200に設定して、現状が満足できる 動作ならば、そのままで問題ないと思います。 今回、LANに流れるべきパケットがWANに流れてrejectされた理由ははっきりしません。 私が作った環境では事象を再現できませんでした。2つのWAN向けルータ間でRIPが妙な 動作をしてRTX側のルーティングテーブルに影響したのではないかと推測しています。 kuroizellさんと同様な確認になりますが… 192.168.1.Xのパソコンのゲートウェイ設定を変えて実現したいことができているでしょうか? もしまだこれが通らないとかあれば、事象(ログ等)とConfigをあげてもらえますか?
- kuroizell
- ベストアンサー率55% (95/170)
invalidさんのご親切に敬意を表しつつ・・・ httpへのpingは通るけどブラウズできないのでしょうか? それともpcAnyWhereが相変わらずダメなのでしょうか? 今出来る事と出来ない事(のログ)をまとめてみて下さい。 httpへのpingは通るけどブラウズできない場合、NATの可能性もあります。 疎通はちゃんと出来てるのにブラウズ出来なかったケースとして、NATで弾かれるケースがありました。 NATのinnerアドレスをAutoにしていたら問題ないハズですので、今回は違うかもしれませんが・・・ nat descriptor log on、syslog debug onで表示されます。 尚、この時表示されるのはグローバルIPなので、マシンのプライベートIPをgrepしてもつかめません。 > LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:62883 > 192.168.1.4:161 SNMPは今回関係ありますか?
- invalid
- ベストアンサー率61% (67/109)
> 192.168.1.3はGWの指定を192.168.1.1にしております。 > (外部への通信する出口は2種類あります。 > 192.168.1.1と192.168.1.200(固定固定IPを取得) 出口が2つあってもルーティングが正しくされていれば問題ないです。 その指定には3つ方法があります。 (1)192.168.1.1のルータに 192.168.10.0/24向けのパケットは192.168.1.200に送るようルートを設定する(静的ルーティング) (2)192.168.1.xのPC全てに 192.168.10.0/24向けのパケットは192.168.1.200に送るようルートを設定する(静的ルーティング) (3)ルータ間(192.168.1.1と192.168.1.200)でRIPの送受信を行なうよう設定し、動的ルーティングをさせる。 DMZ(192.168.10.2)からLAN(192.168.1.3)にパケットが行かないのとは 関係しない気がしますが、LAN(192.168.1.3)からDMZ(192.168.10.2)に 戻るべきパケットが戻らないので、上記のどれかで正しくしておくのが 良いと思います。 以下、補足をお願いします。 192.168.1.3のGWの指定を192.168.1.200に仮に設定して 192.168.1.3(LAN)から192.168.10.2(DMZ)へpingを行なったときに 正しく返ってきますか? (rejectされていたらログをつけてください)
- invalid
- ベストアンサー率61% (67/109)
> 1210番でポート26508を設定していますが > と云う事は1031番は不要と判断してよろしいのでしょうか? 1210はLAN3ポートからルータに入ってくるのを許可するフィルタで 1031はWAN(LAN2ポート)からルータに入ってくるのを許可するフィルタです。 目的が異なるので不要ではありません。 show ip routeの結果のこの1行のルーティングがあるので > 192.168.1.0/24 192.168.1.200 LAN1 implicit 192.168.1.3宛ての下記パケットがPP01に向かうことは無いはずなのですが… > 2009/03/29 00:48:42: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58832 > 192.168.1.3:445 > 2009/03/29 00:48:42: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:58837 > 192.168.1.3:139 何故かPP01でフィルタリングされますね。 pingやpcAnywhereなどの通信はDMZ(LAN3)からLAN1に飛ぶのでしょうか?
お礼
お世話になります。 192.168.10.2から192.168.1.3や192.168.1.1には pingもpcAnywhereも通らないです。 補足ですが 192.168.1.3はGWの指定を192.168.1.1にしております。 GROUPはMSHOMEで統一しておりますが。。 もしかするとこの構成がまずいのでしょうか? (外部への通信する出口は2種類あります。 192.168.1.1と192.168.1.200(固定固定IPを取得)
- invalid
- ベストアンサー率61% (67/109)
追加で補足要求です。 192.168.10.2のサーバでデフォルトゲートウェイとして 設定してあるアドレスを補足願います。
- invalid
- ベストアンサー率61% (67/109)
> 2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 80.218.239.138:38463 > 2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 81.196.88.25:24328 26508の通信がTCPだけでなくUDPもあるのですね。 # ip filter 1210 pass * * tcp,udp 26508 * 1210番のフィルタにudpを追加すればよいです。 1211番のフィルタが必要?かどうか分かりませんが インターネット側にも同じポートのサーバがあるならば そちらもudpを追加してください。 > 2009/03/29 00:48:42: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58832 > 192.168.1.3:445 > 2009/03/29 00:48:42: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:58837 > 192.168.1.3:139 こちらはフィルタの問題よりもルーティングの問題ですね。 通常ルータに直接つながっているセグメント(192.168.1.xと192.168.10.x) へのルーティングは暗黙で追加されるはずですが、LAN1向けの パケットがWAN側に出て行こうとしています。 (kuroizell様が一旦指摘されていましたが…) ルーティングテーブルが正しいかどうか確認したいので # show ip route で取得したルーティング情報と最新のConfigを補足してください。
補足
invalid様。お休みにも関わらずありがとうこございます。 最新のconfigです。 ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.200/24 ip lan3 address 192.168.10.1/24 ip lan3 secure filter in 1101 1102 1103 1104 1105 1201 1202 1203 1204 1205 1206 1207 1208 1209 1210 2000 ip lan3 secure filter out 3000 dynamic 100 101 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ********* ********* ppp lcp mru on 1454 ppp ipcp msext on ip pp address ***.***.***.*** ip pp mtu 1438 ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.1.0/24 * ip filter 1031 pass * 192.168.10.2 tcp * 26508 ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21 ip filter 1033 pass * 192.168.10.2 udp * 26508 ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www ip filter 1101 pass * 192.168.1.0/24 icmp ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 * ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445 ip filter 1104 pass * 192.168.1.0/24 tcp 5631 ip filter 1105 pass * 192.168.1.0/24 udp 5632 ip filter 1201 pass * * icmp * * ip filter 1202 pass * * established * * ip filter 1203 pass * * tcp * ident ip filter 1204 pass * * tcp ftpdata * ip filter 1205 pass * * tcp,udp * domain ip filter 1207 pass * * udp * ntp ip filter 1209 pass * * tcp * www,https ip filter 1210 pass * * tcp,udp 26508 * ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 202 * 192.168.10.3 ftp ip filter dynamic 203 * 192.168.10.3 www nat descriptor type 1 masquerade nat descriptor address outer 1 210.48.233.217 nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508 nat descriptor masquerade static 1 2 192.168.10.2 udp 26508 nat descriptor masquerade static 1 3 192.168.10.3 tcp 21 nat descriptor masquerade static 1 4 192.168.10.3 tcp www syslog notice on tftp host any dhcp service server dhcp scope 1 192.168.1.201-192.168.1.254/24 dns server ***.***.***.*** dns private address spoof on httpd host 192.168.1.1-192.168.1.254 192.168.10.2 1210番でポート26508を設定していますが と云う事は1031番は不要と判断してよろしいのでしょうか? #show ip routeですが # show ip route Destination Gateway Interface Kind Additional Info. default - PP[01] static ***.**.***.**/32 - PP[01] temporary ***.***.***.***/32 - PP[01] temporary 192.168.1.0/24 192.168.1.200 LAN1 implicit 192.168.10.0/24 192.168.10.1 LAN3 implicit ***.**.***.***/32 - PP[01] implicit ***.***.**.*/32 - PP[01] temporary となっており192.168.10.2のGW設定は IPv4 アドレス . . . . . . . . . . : 192.168.10.2 サブネット マスク . . . . . . . . : 255.255.255.0 デフォルト ゲートウェイ . . . . . : 192.168.10.1 DNS サーバー. . . . . . . . . . . : 192.168.10.1 と設定しおります。
- invalid
- ベストアンサー率61% (67/109)
LAN3ポートのINフィルタなので、DMZからWAN/LANに出て行くフィルタを設定します > ip filter 1201 pass * * icmp * * > ip filter 1202 pass * * established * * > ip filter 1203 pass * * tcp * ident > ip filter 1204 pass * * tcp ftpdata * > ip filter 1205 pass * * tcp,udp * domain > ip filter 1206 pass * * udp domain * ↑DMZにDNSサーバがなければ1206は不要 > ip filter 1207 pass * * udp * ntp > ip filter 1208 pass * * udp ntp * ↑DMZにNTPサーバがなければ1208は不要 DMZからWANにブラウザで出て行くならば # ip filter 1209 pass * * tcp * 80,443 があった方がよいと思います。 あと26508ポートのサーバからの返りも必要なので # ip filter 1210 pass * * tcp 26508 * が必要だと思います。 足りないものがあればログにrejectされた内容が表示されるので 必要かどうか判断しながら上記のように追加していくことで 問題ないと思います。
補足
invalid様。ありがとうございます。 ご教示頂きましたのを参考に設定してみました。 ip lan3 secure filter in 1101 1102 1103 1104 1105 1201 1202 1203 1204 1205 1206 1207 1208 1209 1210 1211 2000 ip lan3 secure filter out 3000 dynamic 100 101 ip filter 1101 pass * 192.168.1.0/24 icmp ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 * ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445 ip filter 1104 pass * 192.168.1.0/24 tcp 5631 ip filter 1105 pass * 192.168.1.0/24 udp 5632 ip filter 1201 pass * * icmp * * ip filter 1202 pass * * established * * ip filter 1203 pass * * tcp * ident ip filter 1204 pass * * tcp ftpdata * ip filter 1205 pass * * tcp,udp * domain ip filter 1207 pass * * udp * ntp ip filter 1209 pass * * tcp * www,https ip filter 1210 pass * * tcp 26508 * ip filter 1211 pass * * tcp * 26508 と致しましたが 2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 80.218.239.138:38463 2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 81.196.88.25:24328 \\192.168.1.3\を実行すると 2009/03/29 00:48:42: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58832 > 192.168.1.3:445 2009/03/29 00:48:42: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:58837 > 192.168.1.3:139 とrejectされてしまいます。 secure filterの設定が間違っているでしょうか?
- invalid
- ベストアンサー率61% (67/109)
LAN3(DMZ)からWANに出て行けないのも、ファイル共有で引っかかるのも LAN3にかけたフィルタの問題です。 > ip lan3 secure filter in 1101 1102 1103 2000 > ip lan3 secure filter out 3000 dynamic 100 101 > ip filter 1101 pass * 192.168.1.0/24 icmp > ip filter 1102 pass * 192.168.1.0/24 udp,tcp 445 * > ip filter 1103 pass * 192.168.1.0/24 udp,tcp * 445 > ip filter 2000 reject * * > ip filter 3000 pass * * > ip filter dynamic 100 * * ftp > ip filter dynamic 101 * * www まずDMZからWANに出て行けない問題ですが、上記の設定では WANからftpかwwwのアクセスがあった場合に 対するレスポンスでしかDMZ⇒WANにはパケットが出て行けません。 (100,101のdynamicフィルタによって制御されます) DMZからWANにアクセスできるリストを追加するか、 LAN3のフィルタを外してしまうのがよいかと思います。 (LAN3のフィルタを外してもWAN側PPのフィルタがかかっています) 追加するならば以下のように許可したい通信を指定してください。 以下例です。 ip lan3 secure filter in 1101 1102 1103 1201 1202 1203 2000 ⇒1201~1203を追加 ip filter 1201 pass * * icmp ⇒pingを許可 ip filter 1202 pass * * tcp ⇒tcpを全て許可(例です) ip filter 1203 pass * * udp ⇒udpを全て許可(例です) ※全て許可するくらいならばLAN3にフィルタをかける意味はないですが… 次にDMZからLANへのファイル共有ですが、 MSのファイル共有は445番ポートのみではありません、 netbios_ns-netbios_ssnと表記されるポート137~139も 使う場合があります。 よって1102番,1103番のフィルタで通すサービスを変更する必要があります。 以下例です。 ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 * ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445 場合よっては135(リモート管理で利用)も追加する必要があるかもしれません。
お礼
invalid様。何時もありがとうございます。 LAN3の部分だけ机上ですが再度修正してみました。 ip filter 1101 pass * 192.168.1.0/24 icmp ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 * ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445 ip filter 1104 pass * 192.168.1.0/24 tcp 5631 ↑pcAnywareのポート ip filter 1105 pass * 192.168.1.0/24 udp 5632 ↑pcAnywareのポート ip filter 1201 pass * * icmp * * ip filter 1202 pass * * established * * ip filter 1203 pass * * tcp * ident ip filter 1204 pass * * tcp ftpdata * ip filter 1205 pass * * tcp,udp * domain ip filter 1206 pass * * udp domain * ip filter 1207 pass * * udp * ntp ip filter 1208 pass * * udp ntp * ip lan3 secure filter in 1101 1102 1103 1104 1105 1201 1202 1203 1204 1205 1206 1207 1208 2000 ip lan3 secure filter out 3000 dynamic 100 101 今夜にでも設定反映させてみますが ご確認頂ければ幸いです。
- kuroizell
- ベストアンサー率55% (95/170)
No.10についてですが、勘違いがありました。 lan2を通じてlan1のIPアドレスにいくはずだから、ルーティング設定云々は忘れてください。 単純にフィルタ設定の問題です。 syslogで弾かれているポート番号を開けていけば繋がるはずです。
- invalid
- ベストアンサー率61% (67/109)
最新のConfigとその結果のログを貼り付けてもらえますか?
補足
何時もお世話になります。 最新のconfigとlogを張付けさせて頂きます。 ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.200/24 ip lan3 address 192.168.10.1/24 ip lan3 secure filter in 1101 1102 1103 2000 ip lan3 secure filter out 3000 dynamic 100 101 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ******* ******** ppp lcp mru on 1454 ppp ipcp msext on ip pp address ***.***.***.*** ip pp mtu 1438 ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.1.0/24 * ip filter 1031 pass * 192.168.10.2 tcp * 26508 ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21 ip filter 1033 pass * 192.168.10.2 udp * 26508 ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www ip filter 1101 pass * 192.168.1.0/24 icmp ip filter 1102 pass * 192.168.1.0/24 udp,tcp 445 * ip filter 1103 pass * 192.168.1.0/24 udp,tcp * 445 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 202 * 192.168.10.3 ftp ip filter dynamic 203 * 192.168.10.3 www nat descriptor type 1 masquerade nat descriptor address outer 1 ***.***.***.*** nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508 nat descriptor masquerade static 1 2 192.168.10.2 udp 26508 nat descriptor masquerade static 1 3 192.168.10.3 tcp 21 nat descriptor masquerade static 1 4 192.168.10.3 tcp www syslog notice on tftp host any dhcp service server dhcp scope 1 192.168.1.201-192.168.1.254/24 dns server ***.***.***.*** dns private address spoof on httpd host 192.168.1.1-192.168.1.254 192.168.10.2 です。この状態だとLAN3から外部(Internetができません) その際のlogですが 2009/03/25 23:23:56: same message repeated 2 times 2009/03/25 23:23:56: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49661 > 210.132.71.42:80 2009/03/25 23:23:56: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49599 > 118.214.10.84:80 2009/03/25 23:23:56: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49663 > 210.132.71.42:80 2009/03/25 23:23:58: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:57953 > 192.168.10.1:53 (DNS Query [linkhelp.clients.google.com]) でLAN3から\\192.168.1.6\を実行すると 2009/03/25 23:27:53: same message repeated 2 times 2009/03/25 23:27:53: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:138 > 192.168.10.255:138 2009/03/25 23:27:53: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:137 > 192.168.10.255:137 2009/03/25 23:27:54: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49694 > 192.168.1.6:139 2009/03/25 23:27:54: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:137 > 192.168.10.255:137 2009/03/25 23:27:57: same message repeated 1 times 2009/03/25 23:27:57: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49694 > 192.168.1.6:139 以上よろしくお願い致します。
- 1
- 2
補足
invalid様。おはようございます。 ご指示頂きました通り、 192.168.1.3のGWの指定を192.168.1.200に仮に設定して 致しました。 pingの疎通はありました。 2009/03/30 06:27:02: [INSPECT] PP[01][out][101] TCP 192.168.10.2:49375 > 118.214.10.84:80 (2009/03/30 06:22:13) 2009/03/30 06:27:12: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:62883 > 192.168.1.4:161 とログが残っておりました。 疎通があるという事はやはりご指摘の通りルーティングの問題なのでしょうか? ルータに対する変更はあまりしたくないので (2)で対応可能であればと考えています。