平成21年春午後問9 問2d
広告
合格教本読めないさん
(No.1)
行番号15で、送信元IPアドレスにWebサーバAのIPを指定できる理由について確認です。
私の認識としては、下記の方法で行番号15が追加される認識なのですが、ご確認いただきたいです。
①3ウェイハンドシェイクを、クライアントPC(ですかね?)-WebサーバA間で行う
②コネクションが確立したら、クライアントAがWebサーバにHTTPコマンド送付。
③コネクションが確立しているため送信元(WebサーバA)IPアドレスがわかるので、動的パケットフィルタリングによって行番号が15追加。
いろいろ本やネットを読んだのですが、間違っている気がするので、ご確認いただきたいです。
私の認識としては、下記の方法で行番号15が追加される認識なのですが、ご確認いただきたいです。
①3ウェイハンドシェイクを、クライアントPC(ですかね?)-WebサーバA間で行う
②コネクションが確立したら、クライアントAがWebサーバにHTTPコマンド送付。
③コネクションが確立しているため送信元(WebサーバA)IPアドレスがわかるので、動的パケットフィルタリングによって行番号が15追加。
いろいろ本やネットを読んだのですが、間違っている気がするので、ご確認いただきたいです。
2022.06.09 08:26
合格教本読めないさん
(No.2)
陽射さん
★AP ブロンズマイスター
(No.3)
行番号15が追加されるタイミングは、3ウェイハンドシェイクのSYNパケット通過時です。
このタイミングでファイアウォールは通過するパケットの送信元IPアドレス・送信元ポート
宛先IPアドレス・宛先ポートを把握します。
・SYNパケット通過時
送信元IPアドレス:220.1xx.2xx.4(ファイアウォール2)
送信元ポート:1024
宛先IPアドレス:210.2yy.1yy.100(WebサーバA)
宛先ポート:80
動的フィルタリングは、許可されたポリシーを通過したパケットの戻りパケットを
自動的に通す機能で、行番号15は、戻りパケットを通すため自動的に生成されたポリシーです。
生成ロジックは、通過したパケットの宛先と送信元を入れ替えるだけです。
補足ですが、3ウェイハンドシェイクには、WebサーバAからクライアントPCへの
戻りパケット(SYN+ACK)が発生するため、初回パケット通過時に通しておく必要があります。
1.クライアントPC→WebサーバA(SYN)
2.WebサーバA→クライアントPC(SYN+ACK)
3.クライアントPC→WebサーバA(ACK)
※ファイアウォール2のNAPT機能により行番号15の送信先は、ファイアウォール2と
なっておりますが、WebサーバAの通信相手は、クライアントPCです。
このタイミングでファイアウォールは通過するパケットの送信元IPアドレス・送信元ポート
宛先IPアドレス・宛先ポートを把握します。
・SYNパケット通過時
送信元IPアドレス:220.1xx.2xx.4(ファイアウォール2)
送信元ポート:1024
宛先IPアドレス:210.2yy.1yy.100(WebサーバA)
宛先ポート:80
動的フィルタリングは、許可されたポリシーを通過したパケットの戻りパケットを
自動的に通す機能で、行番号15は、戻りパケットを通すため自動的に生成されたポリシーです。
生成ロジックは、通過したパケットの宛先と送信元を入れ替えるだけです。
補足ですが、3ウェイハンドシェイクには、WebサーバAからクライアントPCへの
戻りパケット(SYN+ACK)が発生するため、初回パケット通過時に通しておく必要があります。
1.クライアントPC→WebサーバA(SYN)
2.WebサーバA→クライアントPC(SYN+ACK)
3.クライアントPC→WebサーバA(ACK)
※ファイアウォール2のNAPT機能により行番号15の送信先は、ファイアウォール2と
なっておりますが、WebサーバAの通信相手は、クライアントPCです。
2022.06.09 23:18
合格教本読めないさん
(No.4)
>陽射さん
ご回答いただきありがとうございます。
昨日の質問時から、陽射さんの回答と他の社内システムを意識して考えを整理いたしました。お手数おかけしますがご確認いただきたいです。
①クライアントPCが社内LAN内のDNSサーバにWebサーバAのIPを問い合わせ。
②社内DNSが外部のDNSサーバに問い合わせ、210.2yy.1yy.100のIPアドレスを取得。クライアントPCに返答。
③クライアントPCが210.2yy.1yy.100にSYNパケット送信。
④パケットがファイアウォール1.2通過時フィルタリングテーブルに、下記の2レコード追加(行番号15に相当)
送信元:210.2yy.1yy.100
送信先:FW1,2のIP
⑤私がスレを立てた際の①,②の流れ。
⑥Webサイトの情報を受け取ったら、クライアントPCorWebサーバAがTCPコレクションの終了を行う
⑦TCPセッションの終了パケットを受信したら、④で挿入したレコードを削除。
2022.06.10 13:19
陽射さん
★AP ブロンズマイスター
(No.5)
④以外は、ご認識のとおりです。
No.3の説明はファイアウォール1の場合の説明になります。
ファイアウォール2を追記します。
パケットがファイアウォール1通過時、下記レコードが追加
送信元:210.2yy.1yy.100
送信元ポート:80
宛先IPアドレス:FW2のIP
宛先ポート:1024
パケットがファイアウォール2通過時、下記レコードが追加
送信元:210.2yy.1yy.100
送信元ポート:80
宛先NAT変換:「宛先IPアドレスがFW2かつ宛先ポート1024」のパケットをクライアントPCに変換
宛先NATによる変換後
宛先IPアドレス:クライアントPC
宛先ポート:クライアントPC(※)
※SYNパケット送信時のクライアントPCの送信元ポート
No.3の説明はファイアウォール1の場合の説明になります。
>行番号15相当部分に
ファイアウォール2を追記します。
パケットがファイアウォール1通過時、下記レコードが追加
送信元:210.2yy.1yy.100
送信元ポート:80
宛先IPアドレス:FW2のIP
宛先ポート:1024
パケットがファイアウォール2通過時、下記レコードが追加
送信元:210.2yy.1yy.100
送信元ポート:80
宛先NAT変換:「宛先IPアドレスがFW2かつ宛先ポート1024」のパケットをクライアントPCに変換
宛先NATによる変換後
宛先IPアドレス:クライアントPC
宛先ポート:クライアントPC(※)
※SYNパケット送信時のクライアントPCの送信元ポート
2022.06.10 21:09
合格教本読めないさん
(No.6)
>陽射さん
補足いただきありがとうございます。
疑問点が解消できました。
確かにポート番号も指定しないと、どのクライアントPCに送ればよいかわかりませんよね。
丁寧にご説明いただきありがとうございました。
2022.06.11 19:32
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。