FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

YAMAHAルータはNAT masqueradeを設定している場合でもWAN側IPがPingとTCPに応答する

2016.03.11 (Fri)


WAN側インターフェースでNAT(NATマスカレード/NAPT)を
使用している場合のデフォルト動作

よくある構成
WAN側:ISPより付与されたグローバルIPアドレス、
LAN側:プライベートIPアドレス






----------------YAMAHAさんのWebサイトより抜粋----------------
既知のフローに一致するかどうかを調べます。
一致すれば、過去のパケットと同じように変換して終了します。

一致しない場合には、まず、
静的NATで処理できるかどうかを調べます。
処理できるならば、パケットをNATで変換して終了します。

次に静的IPマスカレードで処理できるかどうかを調べます。
処理できるならば、パケットをIPマスカレードで変換して終了します。

以上に該当しなければ、次のように分類してパケットの処置を決めます。

ICMPのEcho Requestのときには、無条件にEcho Replyを返します。

そうでなければ、nat descriptor masquerade incomingコマンドの設定にしたがいます。
reject ... パケットを破棄します。ただしTCPについてはResetを返します。
discard ... パケットを破棄します。
through ... パケットを変換せずに通過させます。
forward ... パケットを特定の端末に転送します。
[初期値] : reject
----------------ここまで----------------


TCPの場合TCP/RSTを返し、
ICMP Echo Request(ping)の場合、Echo Replyを返していまう。

セキュリティ上、
外部からの接続には応答しないようにするのが普通のため、
以下の対応を行う。


■TCP通信の場合

nat descriptor masquerade incoming discard


関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック