RTシリーズのIPパケット・フィルタに関するFAQ

ip filterコマンドに出てくるestablishedってなんですか?

フィルタの設定を行う場合、「内から外へはtelnet等を許可したいが、 外から内へは拒否したい」というケースがありますが、 establishedフィルタを利用することにより、 これを簡単に実現することができます。

TCPのコネクションの確立は以下のようなシーケンスとなります。

クライアント側         サーバ側
      |       SYN         |
      |------------------>|
      |     SYN,ACK       |
      |<------------------|
      |       ACK         |
      |------------------>|
      |                   |
以下、全てのパケットにはACKが付きます。

ここで最初のパケットに注目すると、このパケットだけACKがありません。 つまり、外から来るパケットに関してはACKが付いていないものを拒否する ことにより、外からのtelnet等を拒否しつつ、内からの通信は行えるように できます。この、「ACKが付いている(*)」パケットを指定する フィルタがestablished(確立された、という意味)です。

(*)	実際にはestablishedは「TCPフラグの各ビットのうち、 ACKとRSTのいずれかがセットされている」という条件となります。

以下に設定例を挙げます。

# pp select 1
pp1# ip filter 1 pass * * established
pp1# ip filter 2 pass * * tcp ftpdata *
pp1# ip pp secure filter in 1 2

この設定により、PP側からのtelnet等を拒否しつつ、LAN側からのtelnet等 は可能になります。ip filter 2の設定は、FTPを通すために必要です。

[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]