最終更新日:2000年09月29日
ファイアレス・サポート情報
ここではFirelessシリーズユーザ様に対する製品サポート情報をご提供いたします。
バージョンアップ情報 <2000年9月29日 Update>
-
ファームウェア Ver3.03リリース
ファンクションスイッチFn1とFn2をONにする初期化セットアップ時に、前回の設定データへ復元する機能を追加しました。
稼働中のインターネット経由のリモートメンテナンス機能が追加されました。
また、アラームメール機能が強化され、複数送信先指定と発信者アドレス指定が可能になりました。
その他、最近増加しているアプリケーションを出荷時登録に追加しました。
なお、Firelessシリーズは2000年問題に対応済みです。
Firelessシリーズでは機能強化版はすべて当ページより*無償で*ダウンロードできます。
技術情報問合せ先 <1999年4月20日>
技術情報コーナー <1999年10月06日Update>
-
技術情報の内容を更新しました。トラブルだと思ったら、まずこちらをご覧ください。
技術情報コーナー
Fireless設定シート1999/05/17 Ver3.0
-
Firelessの設定シートを掲載しました。
よくある質問
-
代表的かつ重要な質問については以下にまとめています。
これら以外の問題が発生した場合は、お買い上げの販売店、または保守サポート窓口、あるいはインフォメーションまでお問い合わせ下さい。
Firelessの前面LEDが全て点きっぱなしで動作しなくなった。
FL-50/50A/80/80A/100/150のハードウェアでは、電源投入時にセルフチェックを実行しますが、チェック途中に電源をOFFにすると、次に電源投入時に前面LEDが点きっぱなしになり、初期化シーケンスの途中でストップしてしまいます。
この場合、再度電源を投入し直すと正常の動作するようになります。
これらに機種をお使いの場合は、電源投入後前面LEDが消灯するまで、電源を切らないようご注意下さい。
PCのOSをWindowsNT4.0に変更したところ、リモートメンテナンスツールがインストールできなくなってしまった。
「データ転送プロセスでエラーが発生しました:-115」
上記のエラーは、インストール中のファイルのコピー失敗で表示されます。
Fireless Remoteの場合、ほとんどのファイルは自分のディレクトリ上に展開するため、問題となるのは以下のファイルだと思われます。
・MFC42.DLL
・MSVCRT.DLL
インストールする場合は、すべてのアプリケーションを終了させて、タスクトレイ上にも(デバイスドライバを除く)アプリケーションが無い状態で、インストール作業を行なって下さい。
また、インストール作業をAdministratorではなくユーザモードで行なう場合は、システムファイルの上書き権限があるかどうか確認して下さい。
それでも上手くインストールできない場合は、上記のファイルを新しいバージョンに更新するソフトウェア(Visual Stadio等)をインストールすれば、その場合は上書きしませんので、上記エラーは出なくなります。
ファームのアップグレードが正常に行なえない
-> netout:接続はピアによってリセットされました
このメッセージはWindowsのTCP/IPスタックが出しており、データの転送途中にタイムアウトが発生していることを示します。
原因として次のことが考えられます。
・ネットワークの経路上(ケーブル、HUB等)で障害があり再送が多発している
・ネットワークが混雑していて、パケットのロストが多発している
・ファイル転送を行なっているマシンに特殊な通信ソフトがあり、パラメータが変更されている
・FTPでの転送中に、外部やDMZ、内部の他のマシンからのパケットが多数届いている
LANの割り込みにより受信・展開処理に時間がかかっている可能性があります。
アップグレードを行なう際には、下記の点にご注意下さい。
・Firelessと設定用マシンをクロスケーブルで直結するか、HUBを介して1対1で接続
・外部、DMZのケーブルは一時的に外す
設定するのに、誤ってSWの1と2をONにしてしまい設定データが初期化されてしまった
残念ですが、お手元に保管されている設定データから復元するしかありません。
ただし、ファームウェアのバージョン3.02では、初期化時に設定ファイルをバックアップする機能を設けました。
これにより、万一バックアップデータが古くても、最新の設定データは保護されます。
実際の画面イメージがこちらでご覧いただけます。
DMZのマシンから外部のNTPサーバが参照できない
「O; DMZ; [相手Server(123)][DMZ設置ホスト(xxxx)]間の逆方向のパケット」
DMZから外部のサーバのNTPサービスを使用する場合には
外部ホスト(123?123) <? DMZホスト(1024?65535) (UDP)
は許可されているので出ていけますが、応答のパケットが拒絶されます。
これを外部からDMZへの接続設定で実現しようとすると、以下のようなサポートサービスを新規で作成し許可を与える必要があります。
| No | プロトコル | サービス名称 | 接続先ポート範囲 | 接続元ポート範囲 | 接続方向 | 分類 | ||
|---|---|---|---|---|---|---|---|---|
| 開始 | 終了 | 開始 | 終了 | |||||
| ** (未使用のエリア) | UDP | NTP(Recieve) | 1024 | 65535 | 123 | 123 | Both | Reserve |
DMZのマシンから外部のFTPサーバが参照できない
FTPに関しましては、原理的に複数のコネクションを張ることと、クライアントやサーバの実装などにより動作が異なる為注意が必要です。
FTPに関する解説をご参照下さい。
接続を許可していないのに内部から外部のNotesサーバにアクセスできてしまう
DMZ付きの機種で、内部から外部への接続許可で、誤ってReciexe Data(TCP)を許可しています。
この設定を外すと、きちんと接続できなくなります。これは、内部から外部への接続では方向を見ていない為で、ファームウェアVer.3.02およびリモートメンテナンスソフトのVer.1.12にて対処済みです。
それ以前のバージョンをご利用の方は、サポートサービスの接続方向が「Recieve、接続先ホストから」のものは、内部?外部接続設定で使用しないようにして下さい。
QuickTimeを4にバージョンアップしたら外部とつながらなくなった
QuickTimeの以前のバージョンでは、外部への接続許可を「その他」にすることでFirelessを通過することができましたが、QuickTime 4からはRTP/RTSPを使用する方法に変更になりました。
Firelessの現在のバージョンではRealAudio(Video)、StreamWorks、VDOLiveに関しては専用の仕組みで対応していますが、RTP/RTSPには未対応ですので、通信できません。
次期バージョンでは対応する予定ですので、大変申し訳ありませんが、今しばらくお待ちいただくようお願いいたします。
なお、外部?DMZ、内部?DMZなどでは、別の仕組みを用いていますので、Apple社のサポートページにありますように、
・TCP 554(送信)
・UDP 6970から6999まで(双方向)
をサポートサービスに追加することで対応可能です。
リモートメンテナンスで設定を変更し再起動要求を行なっても設定が反映されず、「再起動で反映されていない設定データがあります」のメッセージがでる。
前面のアラームランプが点滅状態のままになり、アラームメールが送られてこない。
大変申し訳ございません。現状のファームウェアでは、何らかの原因でアラームメール送信を失敗すると、まれに、再送を行なえずにそのまま以降のアラームを送信しなくなる現象が報告されております。この時、前面のアラームランプが点滅しつづける状態になります。
そして、この状態の時に、再起動要求を行なっても、メール送信途中の為再起動できなくなっています。
この場合、復帰、及び再起動の為には、電源の再投入が必要となってしまいます。
原因につきましては鋭意解析中ですが、再現が困難な為問題点を特定することができておりません。対応出来次第、バージョンアップを行なわせていただきますので、上記現象の際には、大変お手数ですが、電源の再投入を行なっていただくようお願い申し上げます。
ファイアレスでサポート外のサービスを作成する場合の手がかりとなる方法がありますか
初期状態で設定されていないサービスを追加する場合は、RFCのポート番号割当て(RFC1700)が参考となります。
ただし、プロトコルによりアクセス手順やポートの自動変更などがありますので、本来は、LANアナライザにて調査する事をお勧めしますが、アラームメールの「999.999.999.999(99)が許可されていない」のメッセージの括弧内がポート番号を表すため、これをを手がかりとする事もできます。
ファイアレスでロータスノーツは利用できますか
Ver3.0でロータスノーツが出荷時設定(Reserve)に含まれました。
DMZや外部ネットワークに置いたノーツサーバを利用する場合は、個々に接続許可を与える必要があります。
アラームログに、「999.999.999.999(80)からのアクセス」が頻繁に出るが
WWWのコネクションなどがクライアント側操作で切断された場合、サーバ側(httpd、Java)の障害と推察されます。
プロキシ(キャシュ)サーバを入れると頻度が減少するようです。
このような場合のアラーム対象の設定方法を追加できないか検討しています。
ただし、一部大手のサイト(新聞社やソフトメーカーなど)では、クライアントの要求先以外から応答パケットを返してしまうような、問題の有る並列処理システムがあるようです。
このような場合には、動的に応答先が変化しないホスト名、URLを使用する(wwwのかわりにISP名を指定できるようなマルチフィードサービスを利用しているサイトなど)か、プロキシ(キャシュ)サーバを外部(またはDMZ)ネットワーク上に置く必要があります。
なお、次バージョンより、このような再送パケットによるアラーム出力を行なうか行なわないかの設定を追加する予定です。
アラームログに、「O; DMZ; [(外部ホスト)(xxxx)][(DMZのホスト)(xx)]間の逆方向のパケット」が頻繁に出る
このメッセージは、DMZ上のホストに外部から許可していない接続をしようとした場合に発生します。
誤解を招きやすい表現で大変恐縮ですが、DMZから外部はすべての接続がデフォルトで許可されており、逆にDMZへの接続は許可を与えたものだけに限定されていますので、許可のあるDMZから外部向けの逆方向であることを示しております。
通常、このメッセージは、必要な許可が、設定上もれている場合が多く、たとえばDMZ上のマシンが外部へメールを送信しようとした場合に、相手からIdent(TCP:ポート113)というパケットが確認に来る場合があります。Identは仮に通らなくてもタイムアウトで正常に通信できますので、運用上は問題にはありませんが、アラームが多く発生する為、下記のような設定を追加していただくことをお勧めします。
| No | プロトコル | サービス名称 | 接続先ポート範囲 | 接続元ポート範囲 | 接続方向 | 分類 | ||
|---|---|---|---|---|---|---|---|---|
| 開始 | 終了 | 開始 | 終了 | |||||
| ** (未使用のエリア) | TCP | Identification | 113 | 113 | 1024 | 65535 | Send | |
21/tcp:File Transfer [Control]
22/tcp:SSH Remote Login Protocol
23/tcp:Telnet
25/tcp:Simple Mail Transfer Protocol
79/tcp:Finger
80/tcp:HypertText Transfer Protocol
110/tcp:Post Office Protocol - Version 3
143/tcp:Internet Message Access Protocol
513/tcp:remote login a la telnet;
8080/tcp:CERN httpd Proxy
これらは、一般に「ポートスキャン」という、サーバ上で稼動しているプログラムを調べ、不正侵入しようとしている時にアクセスされるからです。
ポートスキャンであるかどうかは、同一のホストに対してこれらの公開していないサービスへ順次アクセスしているかどうかぐらいしか決め手がありません。
接続元が同一サーバであるか、時間がほぼ同時であるかは決め手にはなりません。最近の高度な攻撃者は、複数の(世界中の)ホストから5分程度の時間を空けて順次スキャンするためです。
このように不審なアクセスが頻発する場合は、このような攻撃に関する情報の収集と調停を行なうJPCERT/CCに 報告を行なって下さい。 ホームページに報告書式と連絡先があります。
それと同時に、上記のうち公開していてエラーになっていないサービスに関しては、アラームの時刻前後不審なログが落ちていないか確認し、できれば内部のチェックをされることをお勧めします。
問合せ先
ファイアレスの技術的な内容に関するお問い合わせは下記までお願いいたします。
総合インフォメーションセンター:tsc@contec.jp
TEL:03-5628-9286 FAX:03-5628-9344
※ Firelessはコンテックの登録商標です。また、記載されている商品名、会社名などは各社の商標及び登録商標です。
※ 本仕様は予告無しに変更されることがあります。
