- 締切済み
【Firewall-1】unknown established TCP packet
こんにちは。 現在、Firewall-1 ver4.1を使ってネットワークを構築しています。DMZセグメントにサーバを設置し、グローバルアドレスに変換して公開しています。 ARPの設定を行いましたが、外部からサーバにアクセスできません。ログを見ると、外部からのTCPのSYNパケットに対する応答が、ファイアウォールで拒否されているようです。rule0でunknown established TCP packetという理由ではじかれています。 どのようにすれば、正常にセッションが張れるでしょうか?
- sirius2003
- お礼率32% (71/221)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- stsu
- ベストアンサー率62% (83/132)
回答No.1
状況だけ見るとTCPパケットがFirewall-1のdefaultのImplied Rules (暗黙のルール)にはじかれているようです。 相談内容だけでは詳細がわかりませんが、HTTP Clientとしての接続 ではなさそうですね。 外しているかもしれませんが、Firewall-1に詳しくない方が設置しよ うとしているのではありませんか? 参考URLにあるような書籍を購入して勉強されることを推奨します。 → このBBSだけでは何時になっても完全な設定を行うことは無理 だと思えます。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_1_thumbnail_img_sm.png)
お礼
解決しました。 IPスプーフィングの設定の問題でした。 FW-1のDMZインタフェースにて、Validアドレスは、 others+【DMZ Serversというグループ】になっていました。 このたびサーバのオブジェクトを追加したのですが、DMZ serversグループに追加していなかったのが原因でした。 早速追加したところ、外部からサーバにアクセスできました。 ありがとうございました。
補足
ご回答ありがとうございます。 Firewall-1のデフォルトのImplied ruleは、すべてパケットをacceptするものだけなので、implied ruleで引っかかっているのではないと思います。 DMZ→外部、内部→DMZ(プライベートアドレス指定)の通信はうまくいっていて、外部→DMZのみうまくいかないので悩んでいます。 Firewall-1については、確かに詳しくありません。サポートを受けようにもすでにサポート期間は終了しており、受けられない状況です。 ご紹介いただいた本は、すでに持っています。4.1ではなく、NGをターゲットにした本ですね。