RTX1000でのポート解放について。

NTT西日本Ｂフレッツで接続しています。
現状のconfigは

ip route default gateway pp 1
ip lan1 address 192.168.1.200/24
ip lan1 nat descriptor 2
ip lan2 secure filter in 200017 200018
ip lan2 secure filter out dynamic 200098 200099
ip lan2 intrusion detection in on reject=on
ip lan2 intrusion detection out on reject=on
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ID PAWWRD
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1438
ip pp nat descriptor 1
pp enable 1
ip filter 200014 pass * * icmp * *
ip filter 200015 pass * * established * *
ip filter 200016 pass * * tcp * ident
ip filter 200017 pass * 192.168.1.201 tcp * 26508
ip filter 200018 pass * 192.168.1.201 udp * 26508
ip filter 200099 pass * * * *
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1 masquerade
syslog debug on
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns server pp 1
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254
としています。
ip filter 200017 pass * 192.168.1.201 tcp * 26508
ip filter 200018 pass * 192.168.1.201 udp * 26508
で特定ポートを解放しているつもりですが。。。

ip lan2 secure filter in 200017 200018
で設定も反映しています。
どこが間違っているかご教示頂きたいと存じます。

No.20 回答者： invalid 回答日時： 2009/04/03 00:03

No18補足> pingの疎通はありました。

DMZ⇒LANおよびLAN⇒DMZの両方向ともpingが通ったということでしょうか？


No18補足> 2009/03/30 06:27:02: [INSPECT] PP[01][out][101] TCP 192.168.10.2:49375 > 118.214.10.84:80 (2009/03/30 06:22:13)
No18補足> 2009/03/30 06:27:12: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:62883 > 192.168.1.4:161
No18補足> とログが残っておりました。

1行目はDMZからWAN向けのhttp(80)アクセスが通過したというログなので関係しません。

2行目の[192.168.1.4:161]宛てのパケットはkuroizellさんの云われるとおり
SNMPというプロトコルの通信になりますので、意図した通信でなければ無視
で良いですが必要なら通過フィルタを追加してください。(rejectされてます)



No18補足> 疎通があるという事はやはりご指摘の通りルーティングの問題なのでしょうか？

時間的な余裕ができたので手元のRTX1100に同じ設定をして動作させてみました。
その環境ではNo.15の補足欄に書かれたconfigでDMZ⇒LAN間の方向で疎通
pingおよびファイル共有ともに可能でした。よってconfigだけ(※)の問題ではなく
ルーティングの方法に問題ありと考えます。
（※意味深な書き方をしていますが、ルーティングの設定もconfig次第なので…）



No18補足> ルータに対する変更はあまりしたくないので(2)で対応可能であればと考えています。

192.168.1.3のデフォルトGWの指定を192.168.1.200に設定して、現状が満足できる
動作ならば、そのままで問題ないと思います。

今回、LANに流れるべきパケットがWANに流れてrejectされた理由ははっきりしません。
私が作った環境では事象を再現できませんでした。２つのWAN向けルータ間でRIPが妙な
動作をしてRTX側のルーティングテーブルに影響したのではないかと推測しています。


kuroizellさんと同様な確認になりますが…
192.168.1.Xのパソコンのゲートウェイ設定を変えて実現したいことができているでしょうか？
もしまだこれが通らないとかあれば、事象(ログ等)とConfigをあげてもらえますか？

No.19 回答者： kuroizell 回答日時： 2009/03/30 15:33

invalidさんのご親切に敬意を表しつつ・・・

httpへのpingは通るけどブラウズできないのでしょうか？
それともpcAnyWhereが相変わらずダメなのでしょうか？
今出来る事と出来ない事（のログ）をまとめてみて下さい。

httpへのpingは通るけどブラウズできない場合、NATの可能性もあります。
疎通はちゃんと出来てるのにブラウズ出来なかったケースとして、NATで弾かれるケースがありました。
NATのinnerアドレスをAutoにしていたら問題ないハズですので、今回は違うかもしれませんが・・・
nat descriptor log on、syslog debug onで表示されます。
尚、この時表示されるのはグローバルIPなので、マシンのプライベートIPをgrepしてもつかめません。

> LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:62883 > 192.168.1.4:161
SNMPは今回関係ありますか？

No.18 回答者： invalid 回答日時： 2009/03/29 20:52

> 192.168.1.3はGWの指定を192.168.1.1にしております。

> （外部への通信する出口は２種類あります。
> 192.168.1.1と192.168.1.200(固定固定IPを取得)

出口が２つあってもルーティングが正しくされていれば問題ないです。
その指定には３つ方法があります。
(1)192.168.1.1のルータに
192.168.10.0/24向けのパケットは192.168.1.200に送るようルートを設定する（静的ルーティング）
(2)192.168.1.xのＰＣ全てに
192.168.10.0/24向けのパケットは192.168.1.200に送るようルートを設定する（静的ルーティング）
(3)ルータ間（192.168.1.1と192.168.1.200）でRIPの送受信を行なうよう設定し、動的ルーティングをさせる。

DMZ(192.168.10.2)からLAN(192.168.1.3)にパケットが行かないのとは
関係しない気がしますが、LAN(192.168.1.3)からDMZ(192.168.10.2)に
戻るべきパケットが戻らないので、上記のどれかで正しくしておくのが
良いと思います。


以下、補足をお願いします。
192.168.1.3のGWの指定を192.168.1.200に仮に設定して
192.168.1.3(LAN)から192.168.10.2(DMZ)へpingを行なったときに
正しく返ってきますか？
(rejectされていたらログをつけてください)

この回答への補足

invalid様。おはようございます。
ご指示頂きました通り、
192.168.1.3のGWの指定を192.168.1.200に仮に設定して
致しました。
pingの疎通はありました。
2009/03/30 06:27:02: [INSPECT] PP[01][out][101] TCP 192.168.10.2:49375 > 118.214.10.84:80 (2009/03/30 06:22:13)
2009/03/30 06:27:12: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:62883 > 192.168.1.4:161
とログが残っておりました。
疎通があるという事はやはりご指摘の通りルーティングの問題なのでしょうか？
ルータに対する変更はあまりしたくないので
(2)で対応可能であればと考えています。

補足日時：2009/03/30 06:24

No.17 回答者： invalid 回答日時： 2009/03/29 17:15

> 1210番でポート26508を設定していますが

> と云う事は1031番は不要と判断してよろしいのでしょうか？

1210はLAN3ポートからルータに入ってくるのを許可するフィルタで
1031はWAN(LAN2ポート)からルータに入ってくるのを許可するフィルタです。
目的が異なるので不要ではありません。


show ip routeの結果のこの１行のルーティングがあるので
> 192.168.1.0/24 192.168.1.200 LAN1 implicit
192.168.1.3宛ての下記パケットがPP01に向かうことは無いはずなのですが…
> 2009/03/29 00:48:42: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58832 > 192.168.1.3:445
> 2009/03/29 00:48:42: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:58837 > 192.168.1.3:139
何故かPP01でフィルタリングされますね。

pingやpcAnywhereなどの通信はDMZ(LAN3)からLAN1に飛ぶのでしょうか？

この回答へのお礼

お世話になります。
192.168.10.2から192.168.1.3や192.168.1.1には
pingもpcAnywhereも通らないです。

補足ですが
192.168.1.3はGWの指定を192.168.1.1にしております。
GROUPはMSHOMEで統一しておりますが。。
もしかするとこの構成がまずいのでしょうか？
（外部への通信する出口は２種類あります。
192.168.1.1と192.168.1.200(固定固定IPを取得)

お礼日時：2009/03/29 18:50

No.16 回答者： invalid 回答日時： 2009/03/29 12:14

追加で補足要求です。

192.168.10.2のサーバでデフォルトゲートウェイとして
設定してあるアドレスを補足願います。

No.15 回答者： invalid 回答日時： 2009/03/29 12:08

> 2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 80.218.239.138:38463

> 2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 81.196.88.25:24328

26508の通信がTCPだけでなくUDPもあるのですね。
# ip filter 1210 pass * * tcp,udp 26508 *
1210番のフィルタにudpを追加すればよいです。
1211番のフィルタが必要？かどうか分かりませんが
インターネット側にも同じポートのサーバがあるならば
そちらもudpを追加してください。

> 2009/03/29 00:48:42: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58832 > 192.168.1.3:445
> 2009/03/29 00:48:42: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:58837 > 192.168.1.3:139

こちらはフィルタの問題よりもルーティングの問題ですね。
通常ルータに直接つながっているセグメント(192.168.1.xと192.168.10.x)
へのルーティングは暗黙で追加されるはずですが、LAN1向けの
パケットがWAN側に出て行こうとしています。
（kuroizell様が一旦指摘されていましたが…）

ルーティングテーブルが正しいかどうか確認したいので
# show ip route
で取得したルーティング情報と最新のConfigを補足してください。

この回答への補足

invalid様。お休みにも関わらずありがとうこございます。
最新のconfigです。
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 1101 1102 1103 1104 1105 1201 1202 1203 1204 1205 1206
1207 1208 1209 1210 2000
ip lan3 secure filter out 3000 dynamic 100 101
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ********* *********
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address ***.***.***.***
ip pp mtu 1438
ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 1101 pass * 192.168.1.0/24 icmp
ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445
ip filter 1104 pass * 192.168.1.0/24 tcp 5631
ip filter 1105 pass * 192.168.1.0/24 udp 5632
ip filter 1201 pass * * icmp * *
ip filter 1202 pass * * established * *
ip filter 1203 pass * * tcp * ident
ip filter 1204 pass * * tcp ftpdata *
ip filter 1205 pass * * tcp,udp * domain
ip filter 1207 pass * * udp * ntp
ip filter 1209 pass * * tcp * www,https
ip filter 1210 pass * * tcp,udp 26508 *
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www
nat descriptor type 1 masquerade
nat descriptor address outer 1 210.48.233.217
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog notice on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns server ***.***.***.***
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254 192.168.10.2

1210番でポート26508を設定していますが
と云う事は1031番は不要と判断してよろしいのでしょうか？

#show ip routeですが
# show ip route
Destination Gateway Interface Kind Additional Info.
default - PP[01] static
***.**.***.**/32 - PP[01] temporary
***.***.***.***/32 - PP[01] temporary
192.168.1.0/24 192.168.1.200 LAN1 implicit
192.168.10.0/24 192.168.10.1 LAN3 implicit
***.**.***.***/32 - PP[01] implicit
***.***.**.*/32 - PP[01] temporary
となっており192.168.10.2のGW設定は
IPv4 アドレス . . . . . . . . . . : 192.168.10.2
サブネット マスク . . . . . . . . : 255.255.255.0
デフォルト ゲートウェイ . . . . . : 192.168.10.1
DNS サーバー. . . . . . . . . . . : 192.168.10.1
と設定しおります。

補足日時：2009/03/29 15:35

No.14 回答者： invalid 回答日時： 2009/03/27 23:37

LAN3ポートのINフィルタなので、DMZからWAN/LANに出て行くフィルタを設定します

> ip filter 1201 pass * * icmp * *
> ip filter 1202 pass * * established * *
> ip filter 1203 pass * * tcp * ident
> ip filter 1204 pass * * tcp ftpdata *
> ip filter 1205 pass * * tcp,udp * domain
> ip filter 1206 pass * * udp domain *
↑DMZにDNSサーバがなければ1206は不要
> ip filter 1207 pass * * udp * ntp
> ip filter 1208 pass * * udp ntp *
↑DMZにNTPサーバがなければ1208は不要

DMZからWANにブラウザで出て行くならば
# ip filter 1209 pass * * tcp * 80,443
があった方がよいと思います。

あと26508ポートのサーバからの返りも必要なので
# ip filter 1210 pass * * tcp 26508 *
が必要だと思います。

足りないものがあればログにrejectされた内容が表示されるので
必要かどうか判断しながら上記のように追加していくことで
問題ないと思います。

この回答への補足

invalid様。ありがとうございます。
ご教示頂きましたのを参考に設定してみました。
ip lan3 secure filter in 1101 1102 1103 1104 1105 1201 1202 1203 1204 1205 1206 1207 1208 1209 1210 1211 2000
ip lan3 secure filter out 3000 dynamic 100 101

ip filter 1101 pass * 192.168.1.0/24 icmp
ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445
ip filter 1104 pass * 192.168.1.0/24 tcp 5631
ip filter 1105 pass * 192.168.1.0/24 udp 5632
ip filter 1201 pass * * icmp * *
ip filter 1202 pass * * established * *
ip filter 1203 pass * * tcp * ident
ip filter 1204 pass * * tcp ftpdata *
ip filter 1205 pass * * tcp,udp * domain
ip filter 1207 pass * * udp * ntp
ip filter 1209 pass * * tcp * www,https
ip filter 1210 pass * * tcp 26508 *
ip filter 1211 pass * * tcp * 26508
と致しましたが
2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 80.218.239.138:38463
2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 81.196.88.25:24328
\\192.168.1.3\を実行すると
2009/03/29 00:48:42: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58832 > 192.168.1.3:445
2009/03/29 00:48:42: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:58837 > 192.168.1.3:139
とrejectされてしまいます。
secure filterの設定が間違っているでしょうか？

補足日時：2009/03/29 00:46

No.13 回答者： invalid 回答日時： 2009/03/27 00:04

LAN3(DMZ)からWANに出て行けないのも、ファイル共有で引っかかるのも

LAN3にかけたフィルタの問題です。

> ip lan3 secure filter in 1101 1102 1103 2000
> ip lan3 secure filter out 3000 dynamic 100 101
> ip filter 1101 pass * 192.168.1.0/24 icmp
> ip filter 1102 pass * 192.168.1.0/24 udp,tcp 445 *
> ip filter 1103 pass * 192.168.1.0/24 udp,tcp * 445
> ip filter 2000 reject * *
> ip filter 3000 pass * *
> ip filter dynamic 100 * * ftp
> ip filter dynamic 101 * * www


まずDMZからWANに出て行けない問題ですが、上記の設定では
WANからftpかwwwのアクセスがあった場合に
対するレスポンスでしかDMZ⇒WANにはパケットが出て行けません。
(100,101のdynamicフィルタによって制御されます)

DMZからWANにアクセスできるリストを追加するか、
LAN3のフィルタを外してしまうのがよいかと思います。
(LAN3のフィルタを外してもWAN側PPのフィルタがかかっています)

追加するならば以下のように許可したい通信を指定してください。
以下例です。
ip lan3 secure filter in 1101 1102 1103 1201 1202 1203 2000　　　　⇒1201～1203を追加
ip filter 1201 pass * * icmp　 　　　　⇒pingを許可
ip filter 1202 pass * * tcp 　　　 　　⇒tcpを全て許可（例です）
ip filter 1203 pass * * udp 　　　 　　⇒udpを全て許可（例です）

※全て許可するくらいならばLAN3にフィルタをかける意味はないですが…


次にDMZからLANへのファイル共有ですが、
MSのファイル共有は445番ポートのみではありません、
netbios_ns-netbios_ssnと表記されるポート137～139も
使う場合があります。

よって1102番,1103番のフィルタで通すサービスを変更する必要があります。
以下例です。
ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445

場合よっては135(リモート管理で利用)も追加する必要があるかもしれません。

この回答へのお礼

invalid様。何時もありがとうございます。
LAN3の部分だけ机上ですが再度修正してみました。

ip filter 1101 pass * 192.168.1.0/24 icmp
ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445
ip filter 1104 pass * 192.168.1.0/24 tcp 5631
↑pcAnywareのポート
ip filter 1105 pass * 192.168.1.0/24 udp 5632
↑pcAnywareのポート

ip filter 1201 pass * * icmp * *
ip filter 1202 pass * * established * *
ip filter 1203 pass * * tcp * ident
ip filter 1204 pass * * tcp ftpdata *
ip filter 1205 pass * * tcp,udp * domain
ip filter 1206 pass * * udp domain *
ip filter 1207 pass * * udp * ntp
ip filter 1208 pass * * udp ntp *

ip lan3 secure filter in 1101 1102 1103 1104 1105 1201 1202 1203 1204 1205 1206 1207 1208 2000
ip lan3 secure filter out 3000 dynamic 100 101

今夜にでも設定反映させてみますが
ご確認頂ければ幸いです。

お礼日時：2009/03/27 11:59

No.12 回答者： kuroizell 回答日時： 2009/03/25 10:16

No.10についてですが、勘違いがありました。

lan2を通じてlan1のIPアドレスにいくはずだから、ルーティング設定云々は忘れてください。
単純にフィルタ設定の問題です。
syslogで弾かれているポート番号を開けていけば繋がるはずです。

No.11 回答者： invalid 回答日時： 2009/03/24 23:37

最新のConfigとその結果のログを貼り付けてもらえますか？

この回答への補足

何時もお世話になります。
最新のconfigとlogを張付けさせて頂きます。
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 1101 1102 1103 2000
ip lan3 secure filter out 3000 dynamic 100 101
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ******* ********
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address ***.***.***.***
ip pp mtu 1438
ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 1101 pass * 192.168.1.0/24 icmp
ip filter 1102 pass * 192.168.1.0/24 udp,tcp 445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * 445
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www
nat descriptor type 1 masquerade
nat descriptor address outer 1 ***.***.***.***
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog notice on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns server ***.***.***.***
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254 192.168.10.2
です。この状態だとLAN3から外部(Internetができません)
その際のlogですが
2009/03/25 23:23:56: same message repeated 2 times
2009/03/25 23:23:56: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49661 > 210.132.71.42:80
2009/03/25 23:23:56: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49599 > 118.214.10.84:80
2009/03/25 23:23:56: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49663 > 210.132.71.42:80
2009/03/25 23:23:58: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:57953 > 192.168.10.1:53 (DNS Query [linkhelp.clients.google.com])

でLAN3から\\192.168.1.6\を実行すると
2009/03/25 23:27:53: same message repeated 2 times
2009/03/25 23:27:53: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:138 > 192.168.10.255:138
2009/03/25 23:27:53: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:137 > 192.168.10.255:137
2009/03/25 23:27:54: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49694 > 192.168.1.6:139
2009/03/25 23:27:54: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:137 > 192.168.10.255:137
2009/03/25 23:27:57: same message repeated 1 times
2009/03/25 23:27:57: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49694 > 192.168.1.6:139

以上よろしくお願い致します。

補足日時：2009/03/25 23:30