RTシリーズのIPパケット・フィルタに関するFAQ
IPフィルタのestablished機能
最終変更日 | 2018/Nov/06 |
文書サイズ | 3.3KB |
ip filter
コマンドに出てくるestablished
ってなんですか?
フィルタの設定を行う場合、「内から外へはtelnet等を許可したいが、 外から内へは拒否したい」というケースがありますが、 establishedフィルタを利用することにより、 これを簡単に実現することができます。
TCPのコネクションの確立は以下のようなシーケンスとなります。
クライアント側 サーバ側 | SYN | |------------------>| | SYN,ACK | |<------------------| | ACK | |------------------>| | | 以下、全てのパケットにはACKが付きます。
ここで最初のパケットに注目すると、このパケットだけACKがありません。 つまり、外から来るパケットに関してはACKが付いていないものを拒否する ことにより、外からのtelnet等を拒否しつつ、内からの通信は行えるように できます。この、「ACKが付いている(*)」パケットを指定する フィルタがestablished(確立された、という意味)です。
(*) 実際にはestablishedは「TCPフラグの各ビットのうち、 ACKとRSTのいずれかがセットされている」という条件となります。
以下に設定例を挙げます。
# pp select 1 pp1# ip filter 1 pass * * established pp1# ip filter 2 pass * * tcp ftpdata * pp1# ip pp secure filter in 1 2
この設定により、PP側からのtelnet等を拒否しつつ、LAN側からのtelnet等 は可能になります。ip filter 2の設定は、FTPを通すために必要です。
[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]