本ページは広告が含まれています。気になる広告をクリック頂けますと、サーバ運営費になります(^^
ip pp secure filter
静的フィルタで こんな記載をみかけます。
ip filter 1031 pass * IPアドレス tcpflag=0x0002/0x0017 * www
wwwサーバーを公開するためのフィルター。まず、トリガーのコネクションの最初のパケットを通すためのtcpflag
という意味になります。なんでこれあるの?
と疑問に思ったところ
dynamic フィルタで利用する
動的なフィルターでは、コネクションの最初のパケットがドアを開く契機になります。一度ドアが開くと、そのコネクションに属する往きと戻りのパケットが両方とも通過するようになります。静的なフィルターでは、往きと戻りのそれぞれの方向についてフィルターを設定する必要がありますが、動的なフィルターでは、往きの方向のフィルターだけを書けば、戻りのパケットも自動的に通るようになります。
動的なフィルターは、静的なフィルターよりも優先して動作します。すなわち、特定のコネクションに対応するドアが開いた後は、そのコネクションを静的なフィルターで制御することはできません。逆にいえば、コネクションの最初のパケットだけは、静的なフィルターで制御できます。
ファイアウォール機能
つまり、静的フィルタで、synパケットだけ、きっかけ(トリガ)となるパケットだけ通す
静的フィルタで、tcpflag=0x0002/0x0017
とその後はdynamic フィルタで、戻りのパケットも通す事ができるようになります。普段は閉じているドアが、静的フィルタのsynパケットで開き、その後戻りのパケットはそのまま通してくれるというのがdynamicフィルタです。
静的フィルタで下向と思うと、in だけでなく outも設定しないといけませんが、dynamicフィルタでは、戻りを書く必要がなくなります。