• ベストアンサー

FWのポリシー

FWのポリシーで疑問があります。 TCP時の動作で、LAN→WANの80番を禁止にするとhttpのアクセスができません。 ではダウンロードを禁止したいとき。 データの流れ的にはWAN→LANになりますが、ポリシーをWAN→LANを禁止にしてもDLできます。 FWのポリシーとは、TCPのコネクション確立後のデータの方向でのポリシーではないのですか? WAN→LANの80番ポートを禁止にするとWANからの80番ポートへのTCPの確立を禁止するのであって、確立後のデータの流れを禁止することではないと思っていいのでしょうか? うまく説明ができませんが、ご存知のかたおりましたらご教授願えれば幸いです。

質問者が選んだベストアンサー

  • ベストアンサー
  • bship
  • ベストアンサー率51% (47/92)
回答No.1

LAN->WAN,WAN->LANいずれでも、TCPの場合は必ず双方向でパケットが流れます。 通常、TCPにおいては通常はSYNパケットを基準にして議論されます。 インターネットから内部LANへのダウンロードを禁止するということは、内部LANからのインターネットへの該当ポートへのSYNを禁止するということです。 つまり、ファイアウォールのポリシーとは、コネクション確立後の問題ではなく、どこからどこへのSYNパケットを許すか許さないかであり、コネクション確立時の問題です。 (本来、ファイアウォールが扱うデータグラムの概念や設定はその製品によって異なりますし、用語定義からも異なります。よって完全に一般化した概念を定義意することは困難です)

NetMani-_-i
質問者

お礼

ご回答ありがとうございます。 知識を整理できました。 感謝です。

その他の回答 (2)

  • kanpyou
  • ベストアンサー率25% (662/2590)
回答No.3

サーバ:80⇔クライアント:3200 のようなポートを使用していますので、ご質問のようにクライアントの80番を閉じてもダウンロードが可能なのです。 禁止にするためには、3200番を閉じなければなりません。(ちなみに、クライアント側の待ち受けポート番号は任意の番号ですので、接続先の数(立ち上げたウインドウ・タブの数)やダウンロードの度に変わります。)

NetMani-_-i
質問者

お礼

ご回答ありがとうございます。 >サーバ:80⇔クライアント:3200 そうですよね。クライアントは80番ではありませんよね・・・ 知識を整理できました。 本当にありがとうございまいた。

  • kanpyou
  • ベストアンサー率25% (662/2590)
回答No.2

相手のポートは80番でも、こっちの(受信側)待ち受けポートは80番ではありませんよ。 (自分のPCでHPを公開するつもりならば、自分の80番ポートを開放することになりますが。。。) >WAN→LANの80番ポートを禁止にするとWANからの80番ポートへのTCPの確立を禁止するのであって、確立後のデータの流れを禁止することではないと思っていいのでしょうか? です。 そもそも、信号を送りませんので、インバウンドはありません。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ルータでのFW・ソフトでのFWの違いについてどうか教えてください

    色々調べたんですが微妙に分からないので教えてください。 WAN → |ルータ(FW)| → LAN内パソコン このルータのお陰でパソコンにはアタックが来ないのですよね。 ならばトロイの木馬などのウィルス系にやられている場合や、 PnP対応のルータを使用している場合は除いて、 特にポートを開けていないLAN内のパソコンへは ファイアウォールソフトの導入は必要ないのでしょうか? また、外部からルータを見ることはできるのでしょうか。 セキュリティについて、具体的な説明がされている、 良いサイトなどもあればお教え頂ければ幸いです。 宜しくお願いします。

  • FWの設定について(片方向のルールで双方向が適応される理由)

    FWについてわからないことがあるのですが 送信方向の通信において、送信先webサーバの80あての通信のみ許可したとします。 受信方向はすべて遮断とします。 以上の状態で、 送信についてクライアントからwebサーバの80ポートにアクセスした場合、送信は許可されているので送信されると思うのですが、 受信についてhtmlなどを受信するときは、webサーバの80ポートからクライアントへとデータの受信が行われると思うのですが、 こちらも通信が通っています なぜ、片側方向の一番最初の通信を許可しただけで、反対方向の通信も通信許可されるのでしょうか これは、ほぼすべてのFWソフトについて同じ動作をするのですか? また、webサーバあて80ポートにアクセスし他時に、返ってくる通信がwebサーバ81ポートからの通信だった場合どうなりますか お願いいたします。

  • FW機器を交換したらサーバ応答が無い

    いつもお世話になっております。 このたび社内NWのファイアーウォール機器をSSG5からFotiGate40Cに移行する ことになりました。 DMZ内にはWindowsのWEBサーバ、Linux(Redhat)のDNSサーバと メールサーバ(SendMail)が入ってます。 各種設定をFortiGateに施しSSG5と入れ替えたところ、メール送受信が 接続は確立するものの、移行の通信がタイムアウトになってしまいました。 パケットを採取しFortiGateサポート担当の方に見てもらったところ、 「FortiGateからメールサーバへはちゃんと通信しているが、サーバから応答が無い」 ということが判明しました。 そこでお教えいただきたいのですが、FW機器が変わることでメールサーバーが 応答しなくなる原因について考えられることはどういったことがありますでしょうか? 確認事項のコマンドなども教えていただければ幸いです。 これまでの背景や調査結果、設定状況を以下に列挙します。  ・SSGの設定をした社員は、パスワードを告げずに失踪。  ・メーラーにはPOP3(110番)とSMTP(587番)を設定。ユーザ認証あり。暗号化無し。  ・FortiGate移行後も、WEB閲覧、および、DNSによる名前解決は出来ている。  ・LAN内からメールサーバーにTELNET接続を試みた場合、110番ポートはOKだが   587番ポートは接続不可となる(SSGとFortiGate両方とも)  ・↑をDMZ内からのマシンから実行しても同様の結果になる。  ・メールサーバ内でTELNET接続すると、587番でも接続可能(当たり前か・・・) SSGの中身はパスワード不明なので見れないのですが、 これまでの流れから、各種IPアドレスやFWポリシーはSSGとFortiGateで差異は ないと考えています。あとはメールサーバ内のFW設定が怪しいのかな?と 思うのですが、メールサーバがSSGとFortiGateを区別するのも無理な話のはず。 よって、手詰まりの状態です。 どうぞよろしくお願いいたします。

  • netstatで確認したコネクションを切断できる?

    Windowsでnetstatコマンドを打つと現在TCPのコネクションが確立しているものが表示されると思います。 このとき表示されているもので、使われている任意のローカルのポートのコネクションを、切断することはできるでしょうか? 知識不足で、とんちんかんなことを質問しているかもしれません。よろしくお願いします。

  • NAT ポート転送 YahooBB

    YahooBBのTrio-Gを使っています。 NATを有効にしてポート転送でWANのTCP:80をLANの192.168.3.3のポート80番に転送する設定をしましたが、自身のWebサイトに接続できません。 NATとの併用は無理なのいでしょうか?

  • UDPデータ通信中の認識方法

    はじめまして。 表題の件について教えて下さい。 機器Aと機器BでUDPデータの通信をしている場合(機器Bのファイルを機器Aに転送しているとか)に受信側の機器Aはデータを受信している最中であるとどうやって認識しているのでしょうか? TCPだと最初にコネクションを確立して最後にコネクションを切断するのでデータ受信開始、受信中、受信完了はコネクション情報で確認できると思うのですが、UDPではコネクション確立がないのでTCPでのデータ受信開始、受信中、受信完了をどうやって識別しようか迷っています。 UDPでデータを受信している最中にLANケーブルを抜かれたらエラーとしたいのです。 その為に受信中であることを知りたいのですが。。。。

  • FWログに変なアクセスが・・

    普段ネットをしていて急に許可していいですか? という画面が出てきたので拒否しました それのせいだと思うんですが FWログに変なものが残ります ネットにつないだ直後に残るらしい? プロコトル:TCP 送信元:じぶんのPCネーム?のようなもの 送信元ポート:1044~1079まで連続で続いています  送信先IP:IPサーチで調べましたが存在しませんでした 送信先ポート:ほとんど80番。送信元ポートが1076~1078、が443番に1079番が80番に送信してるみたいです アプリケーションパス:C:\WINDOWS\System32\svchost.exe アプリケーション名:Generic Host Process for Win32 Service 使ってるソフトはウイルスバスターです このアクセスは何なんでしょうか? 今までネットしててもこんな症状なかったので 気になってます どなたか詳しい方いましたら教えてください<(_ _)> お願いします

  • TCPポート開放の仕方

    yahooのトリオモデム3-Gを使用しています。TCPポート開放がうまくいかなくて困っています。http://172.16.255.254/から詳細設定を行うところまでは分かったのですが、うまくいきません。 WAN側ポート番号とLAN側ポート番号にポート番号を入れればいいのでしょうが、番号を入力する場所がそれぞれ2箇所あるのでよく分かりません・・・。 例えば5555番のポートを開放したい場合どのようにしたらいいのでしょうか?よろしくお願いします!!

    • ベストアンサー
    • ADSL
  • この設定で安全なのか不安です。

    BUFFALOのWBR2-G54/Pのルータを使用しています。 ネットワークカメラ設置に伴い、ルータのアドレス変換設定を、 WAN側IPアドレス(AirStatin)TCP80<-->LAN側IPアドレス192.168.**.**(カメラの固定プライベートIP) LAN側ポート80 IPフィルタルール追加 動作:WAN側からのパケットを通過する。 宛先IPアドレス:192.168.**.**(カメラの固定プライベートIP) 送信元IPアドレス:未記入 プロトコル 任意のTCP/UDP:HTTP(TCPポート:80) としてWANからカメラの画像(動画)をみれるようにしています。 昨日はじめて上記の、設定したのですが、 本日早速TCP SYN FLOOD攻撃を受けたがアタックブロックしました。 というルータからのポップアップメッセージが出てきました。 セキュリティソフトはNorton Internet Securityを入れファイアウォール もONにしているのですが、ネットワークにあまり詳しくないため 心配です。 80番ポートを解放するとTCP SYN FLOOD攻撃というものを受けやすくな るのでしょうか? ご存知の方。宜しくお願いします。

  • WEBサーバーとメールサーバーを分けたいのです

    現状1台で動作しているメールサーバーと(sendmail)、WEB(Apache)サーバーを分けたいのですが、上手くできません。 ■ルーター:WebCaster V110 ■利用機器:DELL PowerEdge SC430 x2 ■グローバルIP:固定 同じ設定のサーバーをもう1つ作り、192.168.1.3として、 ルーターのNAPT設定で、 WAN側ポート: 80>>>LAN側ポート 192.168.1.2: 80 WAN側ポート: 53>>>LAN側ポート 192.168.1.2: 53 WAN側ポート:110>>>LAN側ポート 192.168.1.2:110 WAN側ポート: 25>>>LAN側ポート 192.168.1.2: 25 を、 WAN側ポート: 80>>>LAN側ポート 192.168.1.2: 80 WAN側ポート: 53>>>LAN側ポート 192.168.1.3: 53 WAN側ポート:110>>>LAN側ポート 192.168.1.3:110 WAN側ポート: 25>>>LAN側ポート 192.168.1.3: 25 とすると、一応分けて動作したんですが、ホームページ(192.168.1.2)で使用しているお問い合わせフォーム(mb_send_mail関数で作成?)が使用できなくなってしまいました。 問題はお問い合わせフォームだけなので、192.168.1.2の方には110と25以外のポートを指示するだけで、いけそうだなと思い、調べたんですが、なかなか引っかかりません。 以上、説明不足があるかもしれませんが、よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する