[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:0837] Re:Re:ファイアウォール内にnimdaが入ってきました。一体なぜ?



こばやしです

 >>ftp のようにポート番号だけでなく IP アドレスもパケットの中身に入れるタイプ
 >>のプロトコルは、この方法だけでは通らないんでしょうねえ。
 >  なのでヘッダだけでなく、中身も見て書き換えてます。それによって
 >パケットが分割しなければならない場合も生じたりして、更にシーケンス
 >番号を書き換えて…とか、NATって本当にドツボです。またicmpみたいなんは
 >どうしようもないのでは?

いえ、NAT がパケットの中身も見ている(=そのプロトコルを知っている)場合は
まだいいと思うのですよ。その内容に応じて特定のポートのみへの外からの接続
を forward すれば良い訳ですから。

# 確かにドツボというのは言えてると思いますが。(^^;
# 中身が暗号化されていたらどうしようもないですし。

今回話題になっているのは NAT の知らないプロトコルに関する外からのセッション
に対応するために、一定期間その外部のホストから任意のポートへの接続を内部の
特定のホストに forward してしまうという動作ですので、それはあんまりだなあと
思った次第です。FreeBSD の NAT(natd or ipnat?)ってそういう設定できましたっけ?

 >#やっぱIPv6?

ところでこういった NAT が苦労して通しているプロトコルは、IPv6-to-IPv4 の
トランスレータを通れるのでしょうか? 原理的には同じ困難を抱えていますよね。
例えば IPv6 なクライアントから IPv4 な ftp サーバへ active mode で接続で
きるか等。
-- 
KOBAYASHI Yoshiaki


--[PR]------------------------------------------------------------------
 
   MyCheckに登録すると、自分の欲しい情報が簡単に手に入ります。	
        		
       http://www.freeml.com/reg_member1.php
------------------------------------------------------------------[PR]--