ステートフルファイアヲールに関して
最近少し混乱していまして、以下の点に関してご教授ください。
ホームルータ等で使用されているNAPTは、ルータにアサインされた1つのグローバルアドレスとポート番号をLAN内の複数のプライベートアドレスとポート番号にアサインするものと理解しています。このテーブルはLAN内の機器からWANへのパケットが送出されるときにでき、その応答パケット(WANからの)がきたときに、そのテーブルを参照して内部の機器にパケットを投げる。従って、内部の機器には、直接セッションをはれないので、ファイアヲールとしての役割があると理解しています。
ところで、このLAN側からWAN側へのパケットが送出され、それが帰ってきて通信が終了した場合は、このNAPTのテーブルは消去されるのでしょうか?もし消去されないとすれば、LAN側からWAN側への通信が発生しするたぶに、テーブルが増えて爆発してしまうような気がします。しかし、もし、そのセッションが終了する度に、その変換テーブルのデータ(具体的には、そのプライベートアドレス、ポート番号とそれに対応するグローバルアドレスとポート番号)を消去しているとすればすれば、それはステートフルファイアヲールの一種になってしまうような気がします。
一般のホームルータのフィルタリングでは、すくなくともNAPTとステートフルファイアヲールはことなるものとして書かれているようですが、どうなのでしょうか?
よろしくご回答ください。
日時:
02/06/19 15:14
コメント
『ステートフル』という言葉をどの程度厳密に考えるか,がポイント
米田さん,こんにちわ。
>ホームルータ等で使用されているNAPTは、
この理解でいいと思います。
>ところで、このLAN側からWAN側へのパケットが送出され、それが帰ってきて通信が終了した場合は、このNAPTのテーブルは消去されるのでしょうか?
どこかで消さないと爆発しますね。やっぱり。
実際の製品やソフトを調べたわけではありませんけど,
TCPのコントロールビット(FINなど)で切断されたかどうか判断できますから,
それで,削除するのだと思います。
これと,タイマを組み合わせたりする可能性もありますね。
つまり,ある程度以上時間が経過したら消すとか。
そうしないと,途中で死んだコネクションが残っちゃいますから。
>一般のホームルータのフィルタリングでは、すくなくともNAPTとステートフルファイアヲールはことなるものとして書かれているようですが、どうなのでしょうか?
ステートフルという言葉をどの程度厳密に考えるか,
という点が問題だと思います。
『ステートフルうんぬん』とかいった言葉は,
純粋な意味で『ステートフル』かどうかを問題にしているのではなくて,
あるメーカが始めた,『ステート』に基づいた手法を指す用語として
使われているに過ぎません。
要するに,米田さんのように厳密に『ステートフル』っていう言葉の意味を考えているわけではなくて,
カタログに書いてある『ステートフルうんぬん』という機能を持っているかどうか,
を問題にしているだけだ,ということですね。
だから,実際の中身が『ステートフル』でも,『ステートフルうんぬん』の機能を持っていなければ,
それは,『ステートフルうんぬん』ではない,ということなんだと私は解釈してます。
この説明でわかります?