[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:0837] Re:Re:ファイアウォール内にnimdaが入ってきました。一体なぜ?
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:0837] Re:Re:ファイアウォール内にnimdaが入ってきました。一体なぜ?
- From: kobayasi@xxxxxxxxxxxxxxxxxxxx
- Date: Mon, 12 Nov 2001 01:35:01 +0900 (JST)
こばやしです
>>ftp のようにポート番号だけでなく IP アドレスもパケットの中身に入れるタイプ
>>のプロトコルは、この方法だけでは通らないんでしょうねえ。
> なのでヘッダだけでなく、中身も見て書き換えてます。それによって
>パケットが分割しなければならない場合も生じたりして、更にシーケンス
>番号を書き換えて…とか、NATって本当にドツボです。またicmpみたいなんは
>どうしようもないのでは?
いえ、NAT がパケットの中身も見ている(=そのプロトコルを知っている)場合は
まだいいと思うのですよ。その内容に応じて特定のポートのみへの外からの接続
を forward すれば良い訳ですから。
# 確かにドツボというのは言えてると思いますが。(^^;
# 中身が暗号化されていたらどうしようもないですし。
今回話題になっているのは NAT の知らないプロトコルに関する外からのセッション
に対応するために、一定期間その外部のホストから任意のポートへの接続を内部の
特定のホストに forward してしまうという動作ですので、それはあんまりだなあと
思った次第です。FreeBSD の NAT(natd or ipnat?)ってそういう設定できましたっけ?
>#やっぱIPv6?
ところでこういった NAT が苦労して通しているプロトコルは、IPv6-to-IPv4 の
トランスレータを通れるのでしょうか? 原理的には同じ困難を抱えていますよね。
例えば IPv6 なクライアントから IPv4 な ftp サーバへ active mode で接続で
きるか等。
--
KOBAYASHI Yoshiaki
--[PR]------------------------------------------------------------------
MyCheckに登録すると、自分の欲しい情報が簡単に手に入ります。
http://www.freeml.com/reg_member1.php
------------------------------------------------------------------[PR]--