- 締切済み
【Firewall-1】unknown established TCP packet
こんにちは。 現在、Firewall-1 ver4.1を使ってネットワークを構築しています。DMZセグメントにサーバを設置し、グローバルアドレスに変換して公開しています。 ARPの設定を行いましたが、外部からサーバにアクセスできません。ログを見ると、外部からのTCPのSYNパケットに対する応答が、ファイアウォールで拒否されているようです。rule0でunknown established TCP packetという理由ではじかれています。 どのようにすれば、正常にセッションが張れるでしょうか?
- sirius2003
- お礼率32% (71/221)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- stsu
- ベストアンサー率62% (83/132)
関連するQ&A
- Firewall-1のアドレス変換について
現在、Firewall-1 Ver4.1の設定で悩んでいます。 DMZセグメントにプライベートアドレスを付与したサーバを設置し、グローバルアドレスのNAT変換を使用して、外部に公開したいと思っています。オブジェクトの設定でスタティックなNATの設定をしましたが、インターネットからアクセスできません。サーバでsnoopしてみてもパケットがサーバまで届いていないようです。 Firewall-1 ver3.0のWindows版では、たしかオブジェクトにNATの設定をするだけではだめで、ARP解決用のファイルを作る必要があったかと思うのですが、Ver4.1でも、ARP用に何か設定は必要なのでしょうか? 以上、ご教授ください。
- 締切済み
- ネットワーク
- iptablesによるパケットフィルタ
こんにちは、皆さん iptablesに関して、2つの種類の質問があります。 1. SYNパケット以外の許可の設定 iptablesで、HTTPやFTPのサービスポートを閉じた上で、 以下のコマンドを実行すると、サービスポートが空いてなくても パケットが通ってしまいます。 iptables -A INPUT -p tcp ! --syn -j ACCEPT 上記の意味はSYNパケット以外だけ許可するとなってますので、 最初のセッションを張るパケットは通過できないので、 結果的にはサービスは提供されないのではないでしょうか? でもなぜか通ってます。 また、上記をDROPに指定し直すと、パケットは通過しません。 その後、以下のように個別にサービスポートを開けると、 パケットは通過できるようになるので、当然サービスが提供されます。 iptables -A INPUT -p tcp --sport 1024:65535 --dport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 1024:65535 --dport 20 -j ACCEPT iptables -A INPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT 2. INPUTとFORWARDについて INPUTとFORWARDの違いは、FORWARDはサーバをルータとして使っている時だけ 必要なチェインで、INPUTはパケットを受信する時に必ず通るチェインという 認識でよろしいでしょうか?
- 締切済み
- Linux系OS
- HTTPアクセスの処理
HTTPで「http://www.yahoo.co.jp」にアクセスしようとした場合、どのような内部処理が行われるのでしょうか? 大まか流れとして 1・DNSによる名前解決 2・TCPセッションの確立 3・HTTP要求 と考えてます。(ARP解決は省略します) 1・DNSによる名前解決 プロトコルスタックの流れだとHTTP→DNS→TCP→IP→Ethernetでネットワークに送信され、応答がEthernet→IP→TCP→DNSになると思います。 2・TCPセッションの確立(省略) SYN→SYN ACK→ACK 3・HTTP要求(省略) HTTP GET→HTTP 200 OK わからない部分は1・DNSによる名前解決が終わったあとどうやって2・TCPセッションの確立に移行するのかということです。 (同様に2・TCPセッションの確立が終わったあとに3・HTTP要求)
- ベストアンサー
- その他([技術者向] コンピューター)
- Firewall-1 アドレス変換について
以前同じような質問がありましたが、Firewall-1のNATアドレス変換についての質問です。(以前の質問は、解決まで至っていませんでした。) お恥ずかしいことに、Firewall-1をあまり理解していないのに運用しています。。。 この度、Firewall-1にて、NAT変換でグローバルIPを設定し、外部公開したいと思っているのですが、うまく外からつながりません。昔同じような設定をした際は、ARPの設定をしたような気がしますが、定かではありません。。。 どなたか、設定のヒントを教えて頂けないでしょうか? ちなみに、DMZの内側からは正常にグローバルIPで接続出来ます。 NAT変換は出来ていると思うのですが、何かチェックポイントはありますでしょうか?
- 締切済み
- ネットワーク
- TCPのsynとかっていつ・何回位するのでしょうか
ネットワークの勉強中の中年です。 入門編のTCP/IPですが、コネクション確立(syn→ack/syn→syn)などは 普通に手動で作業をする場合、いつ、何回位されるのでしょうか。 たとえばftpなどですが、 もちろん最初にクライアントからサーバーに接続する際にはとは思うのですか、 パスワードを送るたび、ファイルを送受信するたびに行うものなのでしょうか。 また、finを送るのは、byeでftpを閉じる時でしょうか。 パスワードの送信後とか、ファイルのやり取り後といったタイミングで 発生するのでしょうか。 それともパケットトレースで見るように1秒間に何十回というように されるものなのでしょうか。 挙動についていろいろ資料等があるのですが、 実際に使っているイメージではいつ何をしているかわからず… よろしくお願いいたします。
- ベストアンサー
- その他([技術者向] コンピューター)
- ファイアウォールにおけるネットワーク分割
・ISPからの割り当て IPアドレス:202.xxx.xxx.96~111 ネットマスク:255.255.255.240(28ビット) 各ゾーンのアドレス ・WAN側:202.xxx.xxx.96/28(グローバル) 97~102をホストで利用可能 96はネットワークアドレス、103はブロードキャストアドレス ・DMZ側:202.xxx.xxx.104/29(グローバル) 105~110をホストで利用可能 104はネットワークアドレス、111はブロードキャストアドレス ・LAN側:192.168.1.0/24(プライベート) (1)ルータのNIC(ファイアウォールに対向する側)とファイアウォールのWAN側NICは、ISPから指定されたIPアドレスとネットマスクをそのまま使用 (2)DMZのネットワークアドレスは、WAN側よりマスクが1ビット長いものを設定。→割り当てられたネットワークの後半部分をサブネットとして切り出すため。 (3)ファイアウォールには、WAN側(96~103)宛てとDMZ側(104~111)宛てのパケットについて、それぞれルーティング設定をしておく。 (4)ルータには、202.xxx.xxx.96~111宛てのパケットについて、ファイアウォールのWAN側NICをゲートウェイとして転送するルーティング設定をしておく。 (4)は、ルータとDMZ側が同一ネットワークアドレスに属する(アドレスが同一とはどういうことか?)にもかかわらず、実際には同一ネットワークに存在しないために必要。この設定がないと、ルータは202.xxx.xxx.96~111宛てのパケットを直接転送する(直接とはどういう意味か?)ために、ARPによって転送先のMACアドレスを得ようとするが、これはDMZ側アドレスに関しては失敗する(なぜ失敗するのか?)ため、通信不能になる。 ()の疑問について教えていただけると助かります。
- ベストアンサー
- ネットワーク
- DNSサーバをDMZに移動させたい。
はじめて質問させて頂きます。 現在、OpneBSD 2.9に最初から入っているbind 4.9.8を使用してdnsサーバを構築しています。 今このDNSサーバは外部セグメントにあるんですが、今度このDNSサーバをDMZ(ファイアーウォール内)の中に移動させたいのですが、namad.bootの記述がいまいち判りません。 http://www.linux.or.jp/JF/JFdocs/DNS-HOWTO-10.html#qanda ↑ ここのホームページにヒントで、forward only; または、query-source port 53; を記述すればいいように書かれているんですが、本当にこれらの記述をnamed.bootにすればDMZ(ファイアーウォール内)の中に移動できるんでしょうか? 初歩的な質問だとは思いますが、よろしくお願い致します。
- ベストアンサー
- その他(OS)
- wiresharkの見方がよく分からない(3ウェイハンドシェイク)。
wiresharkを使って(遊んで?)、ネットワークの勉強をしているのですが(『実践 パケット解析』という本を読んでいます)、いまいち見方がよく分かりません。ネットワークの知識が乏しいせいかもしれませんが。 例えば、TCPの接続で、3ウェイハンドシェイクというものがあると思うのですが、その時のinfoで、 2580>http [syn] seq=0 Len=0 MSS=1460 という、表示があります。多分、一番最初のSYNパケットを送っているところだと思うのですが、なぜ最初にhttpという表示があるのでしょうか?まず、TCPで3ウェイハンドシェイクで行って、セッションを確立してからhttp…だと思っているのですが…。また、2580>の意味もよく分かりません。本には、この部分は触れられていませんでした。 よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- FTPのパケットが飛びません
あるPC(Aとします)から同一セグメント上のサーバ(Bとします)へFTPがつながらなくて困っています。 この現象が起きたのは昨日からで、それ以前はきちんとつながりました。 FTPクライアントは NextFTP ですが、FFFTP にしてもだめ、Windows付属のコマンドラインのftp.exeでもダメです。 おかしいなと思ってパケットモニタ(http://homepage2.nifty.com/spw/software/vigil/)をマシンAに入れてパケットを覗こうとしましたが、A→B への通信を見ようとすると Port 80 ・・・正常 Port 25 ・・・正常 Port 21 ・・・パケット飛ばず というわけで Port 21 だけパケットが出ないという状況。 FTPクライアントを変えても同じです。 また、通信先をB以外のサーバーに変えてもやはり Port21は通りませんでした。 なにやらOSレベルで外部の PORT 21 への接続をブロックしているような挙動です。 マカフィのfirewallが入ってますが、このような設定をした覚えもなく、さっぱりわかりません。 原因を調べるとしたら他にどんな方法がありますか?
- 締切済み
- ネットワーク
- ARCserve使用時のFirewall設定について
BrightStor ARCserve Backuo r11.5 for Windowsを導入予定です。 ネットワーク的には、Firewallを介して、Public、DMZ、Internalのゾーンが設定されています。 DMZに設置される、Webサーバのデータを、Internalに設置されるストレージサーバへARCserveを利用してBackupする際に、Firewallの設定変更が必要となります。 この場合、ARCserveのコントロールやBackupされるデータを通すためのポート(TCP及びUDP)のポートは、どれになるか分かりませんでしょうか? マニュアル等ダウンロードして確認してみたのですが、明示的に記載されている部分もあれば、「動的ポート」というような表現があります。 そこで、ご指導頂きたいのが、 (1)一般的にARCserveを使用する際にあけておく、ポートおよびその方向(Internal→DMZ DMZ→Internal)など。 (2)逆にARCserveで、こういうポートを指定して、それにあわせてFirewallを設定するというご経験があれば。 何とぞよろしくお願い致します。
- 締切済み
- ネットワーク
お礼
解決しました。 IPスプーフィングの設定の問題でした。 FW-1のDMZインタフェースにて、Validアドレスは、 others+【DMZ Serversというグループ】になっていました。 このたびサーバのオブジェクトを追加したのですが、DMZ serversグループに追加していなかったのが原因でした。 早速追加したところ、外部からサーバにアクセスできました。 ありがとうございました。
補足
ご回答ありがとうございます。 Firewall-1のデフォルトのImplied ruleは、すべてパケットをacceptするものだけなので、implied ruleで引っかかっているのではないと思います。 DMZ→外部、内部→DMZ(プライベートアドレス指定)の通信はうまくいっていて、外部→DMZのみうまくいかないので悩んでいます。 Firewall-1については、確かに詳しくありません。サポートを受けようにもすでにサポート期間は終了しており、受けられない状況です。 ご紹介いただいた本は、すでに持っています。4.1ではなく、NGをターゲットにした本ですね。