下記フィルタを設定しているのですが、戻りパケットの拒否ログがでます。
通信はできているので問題無いのですが、何故拒否ログがでるのかわかりません。
どなたかご教授願えますでしょうか。どうぞよろしくお願いします。
# show config | grep filter
ip pp secure filter in 201 202 203 204 205 206 207 208 209 210 101 102 103 222
ip pp secure filter out 201 202 203 204 205 206 111 dynamic 1001 1002 1003 100
4 1005 1006 1007
ip filter 101 pass * * icmp * *
ip filter 102 pass * 192.168.0.1 tcp * 1723
ip filter 103 pass * 192.168.0.1 gre * *
ip filter 111 pass-log * * * * *
ip filter 201 reject * * udp,tcp 135 *
ip filter 202 reject * * udp,tcp * 135
ip filter 203 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 204 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 205 reject * * udp,tcp 445 *
ip filter 206 reject * * udp,tcp * 445
ip filter 207 reject 192.168.0.0/16 * * * *
ip filter 208 reject 172.16.0.0/12 * * * *
ip filter 209 reject 10.0.0.0/8 * * * *
ip filter 210 reject 127.0.0.0/24 * * * *
ip filter 222 reject * * * * *
ip filter dynamic 1001 * * ftp
ip filter dynamic 1002 * * domain
ip filter dynamic 1003 * * www
ip filter dynamic 1004 * * smtp
ip filter dynamic 1005 * * pop3
ip filter dynamic 1006 * * tcp
ip filter dynamic 1007 * * udp
2012/04/10 18:13:16: PP[01] Rejected at IN(222) filter: TCP 173.194.38.97:80 >
192.168.0.100:55455
2012/04/10 18:13:16: PP[01] Rejected at IN(222) filter: TCP 173.194.38.102:80 >
192.168.0.100:55456
2012/04/10 18:13:16: PP[01] Passed at OUT(111) filter: TCP 192.168.0.100:55455
> 173.194.38.97:80
2012/04/10 18:13:16: PP[01] Passed at OUT(111) filter: TCP 192.168.0.100:55456
通信はできているので問題無いのですが、何故拒否ログがでるのかわかりません。
どなたかご教授願えますでしょうか。どうぞよろしくお願いします。
# show config | grep filter
ip pp secure filter in 201 202 203 204 205 206 207 208 209 210 101 102 103 222
ip pp secure filter out 201 202 203 204 205 206 111 dynamic 1001 1002 1003 100
4 1005 1006 1007
ip filter 101 pass * * icmp * *
ip filter 102 pass * 192.168.0.1 tcp * 1723
ip filter 103 pass * 192.168.0.1 gre * *
ip filter 111 pass-log * * * * *
ip filter 201 reject * * udp,tcp 135 *
ip filter 202 reject * * udp,tcp * 135
ip filter 203 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 204 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 205 reject * * udp,tcp 445 *
ip filter 206 reject * * udp,tcp * 445
ip filter 207 reject 192.168.0.0/16 * * * *
ip filter 208 reject 172.16.0.0/12 * * * *
ip filter 209 reject 10.0.0.0/8 * * * *
ip filter 210 reject 127.0.0.0/24 * * * *
ip filter 222 reject * * * * *
ip filter dynamic 1001 * * ftp
ip filter dynamic 1002 * * domain
ip filter dynamic 1003 * * www
ip filter dynamic 1004 * * smtp
ip filter dynamic 1005 * * pop3
ip filter dynamic 1006 * * tcp
ip filter dynamic 1007 * * udp
2012/04/10 18:13:16: PP[01] Rejected at IN(222) filter: TCP 173.194.38.97:80 >
192.168.0.100:55455
2012/04/10 18:13:16: PP[01] Rejected at IN(222) filter: TCP 173.194.38.102:80 >
192.168.0.100:55456
2012/04/10 18:13:16: PP[01] Passed at OUT(111) filter: TCP 192.168.0.100:55455
> 173.194.38.97:80
2012/04/10 18:13:16: PP[01] Passed at OUT(111) filter: TCP 192.168.0.100:55456
|
|
|
|
コメント(9)
まさかレスがあるとは!!
本当に有難うございます。
自宅で使用しているので、特に変わった構成ではなく、local⇒インターネットで、PCはYAMAHAに直接つないでいます。
問題のログは下記です。
2012/04/10 18:13:16: PP[01] Rejected at IN(222) filter: TCP 173.194.38.97:80 >
192.168.0.100:55455
フィルタ番号222で拒否されているように思うのですが、、、、
直前の80番通信の戻りパケット(送信元が173.194.38.97)のように見えます。
フィルタ番号207で拒否されていれば、送信元がプライベートアドレスになるはずですが、
このログではグローバルアドレスです。(207 は ip spoof 用です)
本当に有難うございます。
自宅で使用しているので、特に変わった構成ではなく、local⇒インターネットで、PCはYAMAHAに直接つないでいます。
問題のログは下記です。
2012/04/10 18:13:16: PP[01] Rejected at IN(222) filter: TCP 173.194.38.97:80 >
192.168.0.100:55455
フィルタ番号222で拒否されているように思うのですが、、、、
直前の80番通信の戻りパケット(送信元が173.194.38.97)のように見えます。
フィルタ番号207で拒否されていれば、送信元がプライベートアドレスになるはずですが、
このログではグローバルアドレスです。(207 は ip spoof 用です)
>今夜が山ださん
蛇足アドバイスですが、ip pp secure filter を指定するとデフォルト reject-log になるので最後に ip filter N reject * * * * * は不用です
もっとも、最後の 222 のフィルターを外しても「PP[01] Rejected at IN(222) filter」のログが「PP[01] Rejected at IN(default) filter」にかわるだけですが
で、本題
NAT-masquarade がタイムアウトしているのが、このログが記録される原因でしょう
リクエストしてから (初期値で) 15分以内のレスポンスがなければ、NAT-masquarade のエントリが消去されます
その結果、戻りパケットが拒否されることになります
まぁ、15分も待たされるようなサイトは見る気にもなれないでしょから、気にすることはありません
蛇足アドバイスですが、ip pp secure filter を指定するとデフォルト reject-log になるので最後に ip filter N reject * * * * * は不用です
もっとも、最後の 222 のフィルターを外しても「PP[01] Rejected at IN(222) filter」のログが「PP[01] Rejected at IN(default) filter」にかわるだけですが
で、本題
NAT-masquarade がタイムアウトしているのが、このログが記録される原因でしょう
リクエストしてから (初期値で) 15分以内のレスポンスがなければ、NAT-masquarade のエントリが消去されます
その結果、戻りパケットが拒否されることになります
まぁ、15分も待たされるようなサイトは見る気にもなれないでしょから、気にすることはありません
6>ふたつきさん
>>NATの変換テーブルの再割り当てによるものか、動的フィルタのセッションテーブルが消えたものによるもの
そういえば動的フィルターのタイムアウトというものもありましたね
失念していました
リジェクト ログに出ている宛先がプライベート アドレスなので、NAT-masquerade のタイムアウトより動的フィルターのタイムアウトの可能性の方が高そう.... っていうより動的フィルターのタイムアウトでしょうね
タイムアウトのデフォルト値も NAT-masquerade よりも動的フィルターの方が短くなっていますし
7>今夜が山ださん
>>こういう拒否ログは通常出ないものなのでしょうか?
山ほど出ています
>>NATの変換テーブルの再割り当てによるものか、動的フィルタのセッションテーブルが消えたものによるもの
そういえば動的フィルターのタイムアウトというものもありましたね
失念していました
リジェクト ログに出ている宛先がプライベート アドレスなので、NAT-masquerade のタイムアウトより動的フィルターのタイムアウトの可能性の方が高そう.... っていうより動的フィルターのタイムアウトでしょうね
タイムアウトのデフォルト値も NAT-masquerade よりも動的フィルターの方が短くなっていますし
7>今夜が山ださん
>>こういう拒否ログは通常出ないものなのでしょうか?
山ほど出ています
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
YAMAHAルータ 更新情報
-
最新のイベント
-
まだ何もありません
-
-
最新のアンケート
-
まだ何もありません
-
YAMAHAルータのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- 北海道日本ハムファイターズ
- 28129人
- 2位
- 大人のmixi【おとミク】
- 6377人
- 3位
- お洒落な女の子が好き
- 89974人