NVR510 の ICMP too large への対策 - プログラマーのメモ書き

いま仕事場で使っている YAMAHA のルータ NVR510 ですが、こちらの記事で書いたセキュリティ対策を有効にしていますが、ある時期から ICMP too large に関する警告がたくさん出てくるようになりました。

以前も調べたのですが、これは有名な問題のようで iOS から送られるパケットが ICMP に準拠していないそうです。

仕事場の WiFi に iPhone が一つつながってるのでそれだろうな。

まあ、いままではほっといたのですが、最近これがうざったくなってきました。検知するとメールを送る設定にしているせいもあるのですが。

ということで、 ICMP too large の検知機能を切ってみたので、その作業メモです。

まず、 NVR510 にログインして、現状の設定を確認します。

この両方のインターフェースに対して、

こんな感じで、『検知機能』と『パケットの破棄』の両方が有効になっています。なお、上記の画像は LAN インターフェースのものです。

念のため、 WAN 側のインターフェースの設定も見てみると

のようになっています。

これをみてふと気がついたのは、 ICMP too large を検出しているのは LAN 側のインターフェースばっかりです。中央の数値が検出回数になるのですが、 LAN 側は 2000 回を超えているのに、 WAN 側は ICMP too large の検出はありません。

ということで、 LAN 側の ICMP 検知機能だけ切ってやれば、不正パケット検知機能を最小限緩和したうえで、 ICMP too large の警告を抑えてやることができそうです。

ついでに検知した中身も見てみると、

となっていました。この 192.168.0.17 は仕事場の WiFi につながっている iPhone SE (v2) のアドレスでした。宛先の 17.253.75.203 を調べてみると、これも Apple 関係のサーバーのようです。

最初に出た話の再確認になりましたね。

あと、実際の作業の前に NVR510 のダッシュボードから TECHINFO を見ておきます。結局これが設定した内容を詳細に表したものになるかと思います。

LAN 側のインターフェースについては、

WAN 側のインターフェースについては

となっています、なお、設定内容の意味など詳細についてはマニュアル

を参考にしてください。

どうも、ダッシュボードから設定すると ICMP の不正パケット検知についてはそれぞれのインターフェースの in 側（ネットワークケーブルからルータへ入ってくる方向）にのみ設定されているようです。 in と out の両方で検知する必要はない、という考え方なんでしょうね。

では、設定変更を行います。NVR510 のダッシュボードから LAN 側インターフェースを選択して、

のように、検知機能をオフにします。『確認』ボタンを押すと、

のような警告が表示されますが、『設定の確定』ボタンを押せば完了です。

変更後は、下記のように無効になっていることがわかります。

念のため WAN 側の設定内容も再表示してみると当然ながら変更はありません。とりあえずこれで OK ですね。

設定変更したので techinfoも再度確認しておきます。

となり、 ICMP に関する検知を有効にする部分がなくなっています。もちろん、 WAN 側は変更ありませんでした。

さて、これでうまくいくでしょうか？不正パケット検知のメールが大幅に減ったらまずはうまくいったということかな？

いずれにしても、しばらく運用して様子をみてみたいと思います。