問題ID: 3184について
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
hcm83681
居住地: 秘密
投稿数: 89
居住地: 秘密
投稿数: 89
いつもお世話になっております。
establishedについてですが、いつも疑問に思うことがあり、
TCPの3ウェイハンドシェイクの最初のSYNパケットは、どう扱っているのかということです(それが通過しないのであれば、そもそも通信できないはずだから、通過しているのだと思うけど)。
解説のとおり、「ACKビットがセットされているTCPセグメントを通過させる」であれば、最初のSYNパケットすら通過しないと思います。
いろいろ調べてみましたが(ciscoのサイトを調べても)、最初のSYNパケットの扱いについて書かれた情報がないため良く分かりません。establishedについて詳しい方でどなたかご回答お待ちしております。
なお、個人的にはestablishedは日本語で「確立した」なのだから、3ウェイハンドシェイクが確立したパケット(ACKビットは立っている)のみが通過するという意味の方が自然な気がします。
establishedについてですが、いつも疑問に思うことがあり、
TCPの3ウェイハンドシェイクの最初のSYNパケットは、どう扱っているのかということです(それが通過しないのであれば、そもそも通信できないはずだから、通過しているのだと思うけど)。
解説のとおり、「ACKビットがセットされているTCPセグメントを通過させる」であれば、最初のSYNパケットすら通過しないと思います。
いろいろ調べてみましたが(ciscoのサイトを調べても)、最初のSYNパケットの扱いについて書かれた情報がないため良く分かりません。establishedについて詳しい方でどなたかご回答お待ちしております。
なお、個人的にはestablishedは日本語で「確立した」なのだから、3ウェイハンドシェイクが確立したパケット(ACKビットは立っている)のみが通過するという意味の方が自然な気がします。
pasta0245
投稿数: 7
投稿数: 7
>解説のとおり、「ACKビットがセットされているTCPセグメントを通過させる」であれば、最初のSYNパケットすら通過しないと思います。
通過しません。
外部からの通信を拒否したいのに、最初のSYNパケットを通過させたらestablishedを使う意味がありません。
おそらく、hcm83681さんが気にされているのは「内部からの」最初のSYNパケットだと思いますが、これに関しては、そもそもチェックしません。
適用するインターフェースとin/outの方向を確認してみてください。
通過しません。
外部からの通信を拒否したいのに、最初のSYNパケットを通過させたらestablishedを使う意味がありません。
おそらく、hcm83681さんが気にされているのは「内部からの」最初のSYNパケットだと思いますが、これに関しては、そもそもチェックしません。
適用するインターフェースとin/outの方向を確認してみてください。
hcm83681
居住地: 秘密
投稿数: 89
居住地: 秘密
投稿数: 89
pasta0245さん
いつもお世話になっております。
返信ありがとうございます。
establishedは外部からの通信を拒否するのは分かりましたが、外部発の内部サーバへの接続要求(SYNパケット)の場合、常にブロックされるような気がします。
establishedはSYNフラッド攻撃を防ぐものと各所のサイトでよく目にするのですが、本当にそうなのでしょうか?
(個人的にはSYNフラッド攻撃を防ぐものではなく、内部発の通信のみ許可するために設定するものだと思っています。)
いつもお世話になっております。
返信ありがとうございます。
establishedは外部からの通信を拒否するのは分かりましたが、外部発の内部サーバへの接続要求(SYNパケット)の場合、常にブロックされるような気がします。
establishedはSYNフラッド攻撃を防ぐものと各所のサイトでよく目にするのですが、本当にそうなのでしょうか?
(個人的にはSYNフラッド攻撃を防ぐものではなく、内部発の通信のみ許可するために設定するものだと思っています。)
