何か決めなきゃ駄目ですか。



俺が決めたら、貴方はどうするんだい。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

PageTop

Filteringしよう・・・?

FWのFiltering方式の違いって、境界が曖昧過ぎていまひとつ。
今のところこんな風に考えてるのだけど、結局実装依存だろう。


Static Filtering
最も一般的。
WAN→LANへ80/TCPのパケットを通過させると書けば、その通りに動く。
その代わり、上記のようなルールだけ書くと戻りパケットが通らない。
書きたいなら、LAN:80→WAN:anyを通過させるように書かないといけない。
ついでに、制御ポートと転送ポートが別にあるFTPのようなプロトコルは、
転送用ポートと送信元ポートの範囲を狭めたり、その範囲を全部穴開けないと動かない。
設定が至極面倒な上に、数が増えると穴だらけになる。


Dynamic Packet Filtering
Static Filteringじゃどうしようも無いので、動的にルールを追加することにした方式。
Static Filteringで許可したパケットの応答パケットは通過するように自動設定する。
先の例で言えば、WAN→LAN:80にアクセスしてきたら、
LAN:80→WANに対するパケットは通過するように設定する。
これで、手動で書くルールの数は1つで済む。
しかも中には賢い奴がいて、FTPのPORTコマンド等の中を覗いて、
自動的にPORTに合ったポートの許可ルールを生成してくれる。
でも、Stateは保存していないので、TCPで言うとSYNが通過した瞬間に逆向きルールが出来る。
こうなると、アドレスとポート番号さえあわせればパケットが通過し放題になってしまう。
構わないときもあるけど、困る時もある。そういうもの。
FTPって書いたけど、対応プロトコルは実装でマチマチだから確認しましょう、という話。


Stateful Packet Filtering
Dynamic Packet Filteringと似たようなもの。
許可したパケットの応答パケットは通過するように自動設定してくれる。
State Tableにセッション情報を乗っけて、パケットとState(ESTABLISHとか)を比較する上に、
Sequence番号とかFlag等も保存してくれるから、正しいシーケンスしかパケットが通過しない。
具体的に言うと、TCPセッションが確立した後、全然違うSequence番号のパケットが
飛んできても、叩き落してくれる。(まぁ、ノードが受け取っても大体は捨てるんだけどさ)
SYNの後にACKが飛んできても落としてくれる。
その代わり、FTPとかそういう小難しいことは出来ない。


Stateful Packet Inspection (同Stateful Inspection (c)CheckPoint)
Dynamic Packet FilteringとStateful Packet Filteringの複合型。
シーケンスも見るし、パケットの中身も見る。
SYN投げてSYN/ACKじゃないのが返ってきたら蹴ってくれるよ!...って聞いた。
ICMP Request送信して、IDの違うReplyが戻って来たらゴミのように落としてくれるさ!...多分。
DNS Cache Pisoningとかも大半は落としてくれるよ!...きっと!
そういう超強い子。
実装依存。



と、こんな雰囲気だろうか。

あれだよね、Linuxで大人気のiptables/netfilterのページに行くと、Stateful Packet Filteringに
Module噛ませてh323のStateful Packet Inspectionとか出来るように見えるよね。
俺の適当な意見とかいいから、本当かよ、って人用のLink:Netfilter Extensions HOWTO
むしろ俺用。

BSDだとどうなってるんだろう・・・正直pfとかipfwとか良く分かんなくて・・・モニュモニュ。



なんかその・・・決定的に間違ってたらこっそり教えてくれないかなぁ・・・。






でも、ボクが最終的に言いたいのは、突き詰めて考えた分類は個を示すのみなのだから、
良く分かってない人の分類ほど酷いものは無い、ってことなのかもしれない。
分類学とはマクロな視点とミクロな視点の両方がなければ成り立たないし、
学問において優れた人は違いを見抜くことに長けている。
個の寄せ集めにつけた名前に、分類上の価値なんて無いんじゃねーかな。
お偉方はすぐそういう分類したがるけどね、よくわかんねーからそうしたがるんだろうかね?
ってことはギャルにキモオタの分類させたら人種の細分化が凄いことに!
いやまてよ?全部キモオタって分類になっちゃうのかな?
でもどこがキモイのか上手く表現してくれさえすれば、更なる分類のカテゴリが・・・
あ、俺キモイな、これ。

PageTop

コメント


管理者にだけ表示を許可する
 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。