ゆ〜ぞ〜の備忘録

魅惑の762mm

8991くんの日記を見ているうちに、なんか逃亡欲興味が出てきました。
不自然な小ささとか、遊園地の電車みたいな面構えとか、この年になって冷房初導入とか、その記念切符を凍漬けの電車にするセンスとか。

しかもですよ。折しも 10/22 の鈴鹿8時間エンデューロに出場するため、近くを通るわけで。

MC-1×4台で輪行やってみませんか？＞MC-1 参加各位

FreeWLANで一挙解決

La Fonera をFreeWLAN化しちまいました。

• Firmwareのバージョンが古くても中を弄ってたら初期化必須
• Webインターフェイスを日本語表示にしたら設定が出来なくなる

というところで躓きましたが、ブリッジ化しつつ Public → Private/WAN の封鎖が出来ます（一応確認済）。しかもWebインターフェイスから簡単に出来るのがすばらしい。
あとは

• Public（FON_FREE_INTERNET）からの接続制御
• Public からの ニンテンドーWi-Fiコネクション対応
• Private（MyPlace）からの接続制御

といったところです。

Public からの接続制御（ポート制限）

以前に書いたように、必要なポートだけを空けるようにしてみました。Public -> 有線のフィルタ設定は /etc/firewall.fon にある NET_ACCESS チェインで行います。Webインターフェイスからは出来ないので、詳しい人専用ってことで。

• ステートマッチは /etc/init.d/S45firewall にあるため不要
• NET_ACCESS チェインは INPUT や FORWARD に組み込むため、-i とか -o の意味が少し異なる

# allow regular wan traffic
[ -z "$WAN" ] || {
# Added by Yuzo (start)
        iptables -A NET_ACCESS -p tcp -m multiport --dports 22,80,110,123,143,443,500,587,1723,1812,4500,6667 -j ACCEPT
        iptables -A NET_ACCESS -p udp -m multiport --dports 22,80,110,123,143,443,500,587,1723,1812,4500,6667 -j ACCEPT
        iptables -A NET_ACCESS -o $WAN -j DROP
# Added by Yuzo (end)
#       iptables -A NET_ACCESS -o "$WAN" -j ACCEPT
        iptables -A NET_ACCESS -i "$WAN" -j ACCEPT
}

Public からの ニンテンドーWi-Fiコネクション対応

FreeWLAN化 した La Fonera であれば、認証無しで Public 側から接続可能なサイトを追加できます（Webインターフェイスの Advanced→Additional Hostnames）。 86420ポート関連をみた感じでは

192.195.204.0/24
207.38.11.0/24

辺りを加えておけば大丈夫そうですが、QMADS Wikiを見ると

209.67.106.140
210.147.8.145
210.249.144.241
210.249.145.181

も必要だそうです。そのへんは自己判断でどーぞ。

なお、Public からの接続制御を行っている場合は、NET_ACCESS チェインに通しの設定を加える必要があります。変更するファイルは /etc/firewall.fon。先と同様、詳しい人専用です。

# allow regular wan traffic
[ -z "$WAN" ] || {
# Added by Yuzo (start)
        iptables -A NET_ACCESS -p tcp -m multiport --dports 22,80,110,123,143,443,500,587,1723,1812,4500,6667 -j ACCEPT
        iptables -A NET_ACCESS -p udp -m multiport --dports 22,80,110,123,143,443,500,587,1723,1812,4500,6667 -j ACCEPT
        iptables -A NET_ACCESS --dst 207.38.11.0/24   -j ACCEPT # for Nintendo DS Wi-Fi
        iptables -A NET_ACCESS --dst 192.195.204.0/24 -j ACCEPT # for Nintendo DS Wi-Fi
        iptables -A NET_ACCESS -o "$WAN" -j DROP
# Added by Yuzo (end)
#	iptables -A NET_ACCESS -o "$WAN" -j ACCEPT
	iptables -A NET_ACCESS -i "$WAN" -j ACCEPT
}

一応これで QMADS のゲーム内から　FON_FREE_INTERNET（旧 FON_AP）に繋いで Wi-Fi 接続まで出来ました。
IPアドレスが取得出来ない場合（エラーコード 52000）は、DSLite側でIP等の設定を入れてやると上手くいきます。

• IPアドレス：192.168.182.200（200の部分は2〜255の範囲で適当に）
• ネットマスク：255.255.255.0
• ゲートウェイ：192.168.182.1
• DNS：192.168.182.1

まとめ

La Fonera に FreeWLAN を導入することで、DS/DSLite から公開側アクセスポイント（FON_FREE_INTERNET）経由で Wi-Fi 接続出来るようにしました。
これにより家庭内アクセスポイント（MyPlace）の暗号化方式を WEP に落とす必要が無くなり WPA/WPA2 を使うことが出来るため、セキュリティを強固にできます。

とはいえ、新しい Nintendo DSi ならWPA2まで対応していますから、ここに書いたノウハウも過去のものになりそうですけどね。
と思ったら、従来のソフトではWPA使えないそうです。OSIで切り分けて無いのかよ、ヘコいな……

Private からの接続制御（サーバ制限）

これは今のところ不調。
/etc/firewall.fon の INPUT_CFG チェインを弄っても、/etc/firewall.user の $LAN → $WAN FORWARD チェインを弄っても、アクセス制御は掛かりません。