[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:01882] Re: IPSec NAT Traversal

To: <port139ml@xxxxxxxxxxxxx>
Subject: [port139ml:01882] Re: IPSec NAT Traversal
From: "Kunio Miyamoto" <wakatono@xxxxxxxxxx>
Date: Tue, 14 Jan 2003 13:20:52 +0900

　みやもとともーします。

> | ・IKE の間でパケットをやりとりする際に、source port が UDP/500
> | 　以外のリクエストパケットを受け付ける
>   ありゃ! source port ≠ 500 はフィルタしちゃってたりするんですが、
>   いまどきの世の中ではしちゃいけないんですね。直さなきゃ……

　あたりまえですが、 NAT Traversal を使わない場合にはこの限り
ではありません。
　NAT Traversal を使わないのであれば、source port != 500 な
パケットはフィルタしても OK でしょう。

　ちうか、NAT Traversal を使うと、同じ NATBox につながっている
LAN 上のマシンが任意のIPsec GW（もしくはホスト）に接続する可能性
もあるわけですし、そうでなくともNAT経由で出て行くIKEのネゴシエー
ションパケットがsource port として500番になる保証はかけらもない
ので…

 IKE ネゴシエーションのパケットについてのみ NAT 後の source portを
500番に固定したとしたら、複数のマシンが同時に任意のIPsecGW（もし
くはホスト）に IKE ネゴシエーションを試みたとしたら、それはそれ
でレスポンスパケットの行き場に困ると思うのですよ。

---
宮本 久仁男 (Kunio Miyamoto)
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/

References:
- [port139ml:01873] Re: IPSec NAT Traversal
  - From: Kunio Miyamoto
- [port139ml:01874] Re: IPSec NAT Traversal
  - From: Hideaki Ihara
- [port139ml:01877] Re: IPSec NAT Traversal
  - From: Hideaki Ihara
- [port139ml:01880] Re: IPSec NAT Traversal
  - From: Kunio Miyamoto
- [port139ml:01881] Re: IPSec NAT Traversal
  - From: KOJIMA Hajime / 小島肇

Prev by Date: [port139ml:01881] Re: IPSec NAT Traversal
Next by Date: [port139ml:01883] EnCase
Previous by thread: [port139ml:01881] Re: IPSec NAT Traversal
Next by thread: [port139ml:01884] Re: IPSec NAT Traversal
Index(es):
- Date
- Thread