静的フィルタリングの設定(その2)

 ここでは、ファイアウォールの内側(LAN側)から発するパケットの戻りのパケットだけの通過を許可するフィルタリングの設定を行います。

Establishedのみを許可する

 TCPの通信は、スリーウェイハンドシェイクという手順で、接続を確立します。このハンドシェイクで、初期シーケンス番号を交換することで、2つのホストがそれぞれの初期シーケンス番号を同期させています。

その手順は、次のように行われます。

手順内容
手順1送信元が相手に対して、「SYNパケット」を送信する。
手順2SYN パケットを受け取った相手は、送信元に接続を許可する「SYN,ACKパケット」を送信する。
手順3SYN ACK パケットを受けとった送信元は、接続開始をあらわす ACK パケットを送信し、受信側との通信を開始する。

スリーウェイハンドシェイクの様子を図で表すと次のようになります。

つまり、送信側が受け取るパケットには、全て「ACK」のフラグが立っていることになります。

 そこで、ファイアウォール側で外部から送られてくるパケットに「ACK」のフラグ付いているものだけを通過させれば、ファイアウォールの内側(LAN側)から発するパケットの戻りのパケットだけを許可することと同意になります。

 フィルタリングの設定にestablishedを指定するとで、TCPヘッダに「ACK」のフラグが立っているということを条件件に加えることができます。

フィルタリングのメカニズムが理解できたところで、まず、R1にフィルタリング以外の設定を行っていきます。