3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

(iFilter)HTTPSサイトアクセス時にブロック画面が表示されない

iFilter ver9.5を使用しています。SSL Adaptorは使用していません。

その際に、ブロック対象のSSLサイトにアクセスしたときに、ブロック画面が表示されません。
ブラウザのエラー画面となります。

Chromeだと以下のエラーになります。

このサイトにアクセスできません
https://www.intel.co.jp/ のウェブページは一時的に停止しているか、新しいウェブアドレスに移動した可能性があります。
ERR_TUNNEL_CONNECTION_FAILED

DigitalArts QA 「i-FILTER」HTTPSサイト接続時にブロック画面を表示することができないによると、このような場合「SSL接続終端処理」を使えば良いとのことでした。

詳しくは、SSL接続終端処理とは何ですか|「i-FILTER」トラブルシューティングガイド|デジタルアーツ株式会社を参照。。

ただこの機能を使うには証明書が必要です。
iFilterにはデフォルトで利用できる証明書が用意されているのでそれを使うと楽です。

デフォルト証明書は以下のパスにあります。

秘密鍵ファイル: {i-FILTER インストールディレクトリ}/conf/ssl/default_ca_sha2.key 証明書ファイル: {i-FILTER インストールディレクトリ}/conf/ssl/default_ca_sha2.crt

また、証明書ファイルはクライアントの[信頼されたルート証明機関]にインポートする必要があります。 (そうしないとIE11:DLG_FLAGS_INVALID_CA , Chrome:NET::ERR_CERT_AUTHORITY_INVALIDのエラーとなります)

ADがあるならグループポリシーで一斉配信したほうがいいですね。

ちなみに、SSL接続終端処理はiFilterサービスの再起動が必要となります。

参考:
「i-FILTER」 Ver.9/Ver.10 へバージョンアップ後、HTTPSページで証明書警告が表示されるので非表示にする方法を教えてください(SSL代理証明書インポート手順)

スタティックルーティング環境の複数LAN構築時はサブネット考慮すると楽

既存LANに更に幾つかのLANセグメントが追加する必要が生じました。
既存LANはL3にて各セグメントが定義されている、いわばスター型的なネットワークです。

そこに、物理ルーターが2つ追加され、更にインターネット公開用のセグメントも追加されました。
以下のような感じです。※となっている部分が追加された環境です。
ルーティングはすべて静的ルーティングです。

※ インターネット(www公開用)
※ |
※ルータA---DMZ
※ |
※ルータB
※ |
L3スイッチ (ここから下が既存部分のLAN)
 |192.168.10.0/24
   ~
 |192.168.20.0/24---FW:192.168.20.254--インターネット

それで、追加部分のセグメントのサブネットを、当初は単純に以下のようにしていました。

 |インターネット(www公開用)
 |(ip:10.0.0.1 LAN1)
ルータA(ip:192.168.1.1 LAN2)---DMZ  192.168.1.0/24
 |(ip:192.168.2.1 LAN3)
 | 192.168.2.0/24
 |(ip:192.168.2.254 LAN1)
ルータB
 |(ip:192.168.3.1 LAN2)
 | 192.168.3.0/24
 |(ip:192.168.3.254 VLAN3)
L3スイッチ (ここから下が既存部分のLAN)
 |192.168.10.0/24
   ~
 |192.168.20.0/24---FW:192.168.20.254--インターネット

しかし、こうなると各ルーターやL3には以下のようにスタティックルートを追加してやる必要があります。

●ルータA
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             xxx.xxx.x.x              LAN1    static
10.0.0.1/24         10.0.0.1                 LAN1    implicit
192.168.1.0/24      192.168.1.1              LAN2    implicit
192.168.2.0/24      192.168.2.1              LAN3    implicit
192.168.3.0/24      192.168.2.254            LAN3    static(←ルータB~L3間ネットワーク)
192.168.10.0/24     192.168.2.254            LAN3    static(←L3につながってるルートを個別に追加する必要あり)
192.168.11.0/24     192.168.2.254            LAN3    static
.....
192.168.19.0/24     192.168.2.254            LAN3    static
192.168.20.0/24     192.168.2.254            LAN3    static


●ルータB
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             192.168.2.1              LAN1    static
192.168.1.0/24      192.168.2.1              LAN1    static(←ルータAのDMZセグメント。デフォルトGWでも解決できるのなくてよい)
192.168.2.0/24      192.168.2.254            LAN2    implicit
192.168.3.0/24      192.168.3.1              LAN2    implicit
192.168.10.0/24     192.168.3.254            LAN2    static(←L3につながってるルートを個別に追加する必要あり)
192.168.11.0/24     192.168.2.254            LAN3    static
.....
192.168.19.0/24     192.168.2.254            LAN3    static
192.168.20.0/24     192.168.3.254            LAN2    static


●L3
S*      0.0.0.0/0 [1/0] via 192.168.20.254, VLAN20
S       192.168.1.0/24 [1/0] via 192.168.3.1, VLAN3(←ルータAのDMZセグメント)
S       192.168.2.0/24 [1/0] via 192.168.3.1, VLAN3(←ルータB~ルータB間ネットワーク)
C       192.168.3.0/24 is directly connected, VLAN3
C       192.168.10.0/24 is directly connected, VLAN10
C       192.168.11.0/24 is directly connected, VLAN11
....
C       192.168.19.0/24 is directly connected, VLAN19
C       192.168.20.0/24 is directly connected, VLAN20

かなりの数のルートを追加してやる必要があります。面倒です。
しかし、サブネットを上手に切ってやると追加するルートを最低限にすることができます。

まず、L3より下側と上側をそれぞれ一つのネットワークとみなすことができるサブネット体型とします。

L3より下側は既存LANなので変更不可と要件です。
よって、L3より下側のネットワークは、192.168.10系~192.168.20系を含めるネットワークアドレスとサブネットにします。 192.168.0.0/19 (192.168.0.1~192.168.31.254が使用可能ホスト)だとちょうど収まります。
(192.168.0.0/20だと、192.168.0.0~192.168.15.255 になるので入りません。)

L3より上側は192.168.0.0/19の範囲外のネットワークアドレスとサブネットにします。(範囲外にしないとルータA,BにL3下側向けのルートを設定した際に、そこにL3上側も含まれるため正しく通信できません)
よって、開始アドレスは192.168.0.0/19の次のIP192.168.132.0としました。 さらに、L3より上側の各セグメントは数台ずつしか使わないので、それぞれ/24ではなくもっと細かい /27 としました。

よってL3より上側をまとめたサブネットは、192.168.32.0/24 (192.168.32.1~192.168.32.254が使用可能ホスト) とします。

そいて、このサブネット内でルータAのDMZ,ルータA~B間、ルータB~L3間を/27で別ネットワークに分割します。それぞれのネットワークアドレスを以下のようにしました。

ルータA DMZ:  192.168.32.0/27  (使用可能アドレス32.1 - 32.30)
ルータA~B間: 192.168.32.32/27  (使用可能アドレス32.33 - 32.62)
ルータB~L3間:192.168.32.64/27  (使用可能アドレス32.65 - 32.94)

ネットワーク図

 |インターネット
 |(ip:10.0.0.1)
ルータA---DMZ(ip:192.168.32.1)192.168.32.0/27
 |(ip:192.168.32.33)
 | 192.168.32.32/27
 |(ip:192.168.32.62)
ルータB
 |(ip:192.168.34.1)
 | 192.168.32.64/27
 |(ip:192.168.34.94 VLAN32)
L3スイッチ
 |192.168.10.0/24
   ~
 |192.168.20.0/24---FW:192.168.20.254---インターネット

こうするとルーティングテーブルは以下のようにできます。

●ルータA
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             x.x.x.x                  LAN1    static
10.0.0.1/24         10.0.0.1                 LAN1    implicit
192.168.32.0/24     192.168.32.1             LAN2    implicit
192.168.32.32/27    192.168.32.33            LAN3    implicit
192.168.0.0/19      192.168.32.62            LAN3    static(←L3より下側をまとめた0.0/19のルート追加))


●ルータB
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             192.168.32.33            LAN1    static
192.168.32.32/27    192.168.32.62            LAN1    implicit
192.168.32.64/27    192.168.34.1             LAN2    implicit
192.168.32.0/27     192.168.32.62            LAN1    static(←ルータAのDMZ。デフォルトGWで解決されるのでなくてもOK)
192.168.0.0/19      192.168.34.94            LAN2    static(←L3より下側をまとめた0.0/19のルート追加))


●L3
S*      0.0.0.0/0 [1/0] via 192.168.20.254, VLAN20
S       192.168.32.0/24 [1/0] via 192.168.34.1, VLAN32(←L3より上側をまとめたサブネット32.0/24を追加してやるだけ)
C       192.168.10.0/24 is directly connected, VLAN10
C       192.168.11.0/24 is directly connected, VLAN11
....
C       192.168.19.0/24 is directly connected, VLAN19
C       192.168.20.0/24 is directly connected, VLAN20

各ルータやL3に追加するルートが少なくてスッキリしました。