treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

ZEROのせいでファイルサーバがアクセス不可

セキュリティソフトのブロックで共有フォルダにアクセスできない、という話をご報告します。

アクセスできない共有フォルダは、別セグメントの(ルーティング先にある)ファイルサーバの共有フォルダです。

アクセスできない?

スーパーセキュリティZEROを利用して、ファイアウォール機能も任せている場合、というPC環境を前提として話です。

通常、家庭内LANで利用するような環境であれば特に問題にはならないかもしれませんが、ちょっと手の込んだネットワーク構成だった場合に今回のような状況が該当するかもしれません。
と、いうのが、対象のPCでは複数のNICを使い、各々異なるセグメントにLANケーブルを伸ばしているPC、さらに複数のセグメントの向う側にはルータ(L3スイッチも同義)があって、ルーティング先にファイルサーバが存在する場合の話です。

つまり、

PC側:192.168.1.31(ここにスーパーセキュリティZERO)
   ↑↓
ルータ:192.168.1.1
サーバ:192.168.1.10
   ↑↓
ルータ:192.168.11.1
サーバ:192.168.11.11

こういう具合にルータの向う側にサーバがある場合、スーパーセキュリティZEROを利用しているPCはサーバ:192.168.1.10には(同じネットワーク・同一セグメントだから)アクセスできるんですが、ルーティング先にあるサーバ:192.168.11.11にアクセスしようとすると、「見つかりません」とか「アクセスできません」のようなエラーを出してアクセスに失敗してしまう、という症状。

アクセス許可する手順

※内部ネットワーク(LAN内でプライベートIPを利用している各セグメント)はファイアウォール内の安全なネットワークであるという前提で設定しています。

まずは、スーパーセキュリティZEROの設定画面を開く。

f:id:treedown:20180827195704p:plain
トップ画面から「機能を表示」を開きます。

f:id:treedown:20180827195721p:plain
セキュリティSuite導入後に起きる、こういう時には定番となる「ファイアウォール」の設定を開きます。

f:id:treedown:20180827195739p:plain
ファイアウォールの設定画面で「ネットワークアダプタ」の欄をクリックして開き、各NICの設定を確認。
この場合には「動的」になっていたのを「プライベート」に設定しました。
※動的になっているとスーパーセキュリティZEROが判断してパブリックネットワークだと判断することもあると考えています。だから今回のエラーになったんじゃないかと。

 

f:id:treedown:20180827195753p:plain

ネットワークアダプタの隣、「設定」をクリックして、画面下部の「デフォルトのルールを編集」をクリック

f:id:treedown:20180827195804p:plain
「デフォルトのアプリケーション動作」と言う画面で、デフォルト「自動」となっている箇所、対象のNICでは「許可」に変更します。


ここまで実施したところで、無事ルーティング先にあるファイルサーバの共有フォルダを開くことができるようになりました。

一番の問題は…

一番問題なのは、スーパーセキュリティZEROをインストールした後に設定したはずのファイアウォール設定が、きれいさっぱりと無くなっていたってことが問題です。

うーん、こういうバージョンアップはちょっと勘弁して欲しいなぁ。再設定する手間もそうですが、原因を突き止めるのに時間が掛かるってのがあるので。