ついに夏本番!さぁ、家族でキャンプに行くぞ! >>

ルータのパケットフィルタルールにWAN側UDP禁止にしたらなぜかPINGのリプライが返ってこなくなりました。ICMPパケットってNAPTではUDPでラップされるんですか?

このQ&Aに関連する最新のQ&A

A 回答 (2件)

本来のNAPTはicmpプロトコルは通さないみたいなので、ルーターが独自実装して通しているんだと思う。



で、どういう実装をしているかはルーターのメーカー側に訊くしかないと思うんだけど。
そのメーカーのサポートに質問してみれば良いと思う。

 【参考】
  http://www.keyman.or.jp/3w/prd/94/61000594/

#質問者殿のルーターの場合は、UDP扱いで変換テーブルに登録されているという実装なのかも
    • good
    • 0

PINGと呼ばれるものは本来ICMPですが


ICMPを弾く機器も多いため
TCP PINGやUDP PINGと言うものが存在します。
(実際に多くで利用されています)

送信している機器がICMPで送信しても
FireWall機器が、TCP PINGに変換するなんてのもありますので
そもそもどこで、UDPになっているのかを調べてみては如何でしょう?
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qtracerouteコマンドとポート番号

Linuxでtracerouteを実行して見ていると、ICMPのtime exceededが返ってくるたびに宛先ポート番号が変わっている(インクリメントされている)みたいなのですが、これはどういう意図でこのようになっているのでしょうか?


IP 192.168.1.1.33781 > 192.168.10.0.33434: UDP, length 32
IP 192.168.1.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68
IP 192.168.1.1.51585 > 192.168.10.0.33435: UDP, length 32
IP 192.168.2.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68
IP 192.168.1.1.58491 > 192.168.10.0.33436: UDP, length 32
IP 192.168.3.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68

Linuxでtracerouteを実行して見ていると、ICMPのtime exceededが返ってくるたびに宛先ポート番号が変わっている(インクリメントされている)みたいなのですが、これはどういう意図でこのようになっているのでしょうか?


IP 192.168.1.1.33781 > 192.168.10.0.33434: UDP, length 32
IP 192.168.1.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68
IP 192.168.1.1.51585 > 192.168.10.0.33435: UDP, length 32
IP 192.168.2.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68
IP 192.168...続きを読む

Aベストアンサー

tracerouteが送信するUDPパケットのポート番号を変化させているのは、受信したICMP time exceedが、自分送信したどのUDPパケットに対応するものか認識する必要があるためです。
(自分がUDPパケットを送信した順番で、それぞれのUDPパケットに対応するICMP time exceed が返ってくるとは限らないため。さらにtraceroute を複数同時に動かした場合の考慮も必要です。)

どのように自分が送信したUDPと、受信したICMPの照合をとるかというと、

 ICMP time exceed パケットの中には、それの原因となった
 UDPパケットのIPヘッダ+UDPヘッダの先頭8バイトがコピーされている(RFC972)

ということを利用しています。つまり、tracerouteはTTLを増やしながら送信するUDPパケットヘッダの内容を色々変えながら送信しつつ、その内容を覚えておき、受信したICMPパケットにくっついていたIP/UDPヘッダと照合することで認識します。

ここで、アプリケーションが自由に変更でき、重複が発生しない程度に十分広い空間を持つフィールドは、UDPヘッダのポート番号くらいです。他のヘッダフィールドは、ほとんどいじる余地がありません(いじるとだいたい不正なパケットになってしまいます)。UDPポート番号が変化する理由はこれです。

どのように変化させているかの詳細は、tracerouteのソースコードのコメントに記載されています(参考URL)。

参考URL:http://svn.freebsd.org/viewvc/base/head/contrib/traceroute/traceroute.c?revision=216184&view=markup

tracerouteが送信するUDPパケットのポート番号を変化させているのは、受信したICMP time exceedが、自分送信したどのUDPパケットに対応するものか認識する必要があるためです。
(自分がUDPパケットを送信した順番で、それぞれのUDPパケットに対応するICMP time exceed が返ってくるとは限らないため。さらにtraceroute を複数同時に動かした場合の考慮も必要です。)

どのように自分が送信したUDPと、受信したICMPの照合をとるかというと、

 ICMP time exceed パケットの中には、それの原因となった
 UDPパケ...続きを読む

QIPパケット、TCPパケット、UDPパケット

IPパケット、TCPパケット、UDPパケットのヘッダ構造とはどんなものなのでしょうか?また各々のフィールドがどのような役割を担っているのかについて教えてください。お願いしますm(__)m

Aベストアンサー

下記、URLのページを参照ください。

○IPパケット
 @IT:基礎から学ぶWindowsネットワーク 第10回
 →1.IPパケットの構造
 http://www.atmarkit.co.jp/fwin2k/network/baswinlan010/baswinlan010_02.html

○TCPパケット
 @IT:基礎から学ぶWindowsネットワーク 第15回
 →1.TCPパケットの構造
 http://www.atmarkit.co.jp/fwin2k/network/baswinlan015/baswinlan015_02.html

○UDPパケット
 @IT:基礎から学ぶWindowsネットワーク 第13回
 →2.UDPパケットの構造
 http://www.atmarkit.co.jp/fwin2k/network/baswinlan013/baswinlan013_03.html

QICMP pingについて

PCってデータを送受信するときにポートと呼ばれるもの(出入口)を使うじゃないですか。
私は、セキュリティのチェックをしたときにICMP pingが開いているという結果が出ました。じゃー、閉めましょうということでいろいろとネットサーフィンしたのですが、どこにもその方法について書いてありませんでした。
そもそも、ICMP pingとはなんですか?
また、ICMP pingのポートはどのようにすれば閉じることができるのでしょうか?

Aベストアンサー

こんにちは
ICMP にはPort の概念がありません。
ルータやFirewall はICMP を通す/通さないを判断しているだけです。

”ICMP ping”と言うのは、IP の通信確認をするための手段で、
自分からEcho Request を送信し、相手からEcho Reply を受け取ることで、
対向とIP 通信ができる状態であると判断します。

■疎通試験OK
1)自分---(Echo Request)-->相手
2)自分<---(Echo Reply)----相手

■疎通試験NG
1)自分---(Echo Request)-->相手
2)相手からの応答なし

ICMP にはEcho Request/Echo Reply/Traceroute などの種類があります。
詳細は以下のページをご覧ください。
http://www.atmarkit.co.jp/fwin2k/network/baswinlan012/baswinlan012_02.html


セキュリティチェックで、”ICMP ping”と表示されたとありますが、
恐らくPing のEcho Request に応答して、
”Echo Reply”を返す設定になっていることを示していると思います。
この状態が危険かどうかと言う判断は、難しいと言えます。

なぜなら、相手の疎通試験に応答すると言うことは、
そのIP アドレスが有効でIP で通信できる相手が存在していることを表し、
攻撃される可能性が”0”では無いということです。
しかし、応答を返すと即座に攻撃される訳ではありませんし、
その対象から応答が得られない為、通信確認ができなくなってしまいます。

個人的には、神経質になるほどのものでは無いと考えます。

それでも閉じられたい場合は、対象のフィルタリング設定を確認してみてください。

こんにちは
ICMP にはPort の概念がありません。
ルータやFirewall はICMP を通す/通さないを判断しているだけです。

”ICMP ping”と言うのは、IP の通信確認をするための手段で、
自分からEcho Request を送信し、相手からEcho Reply を受け取ることで、
対向とIP 通信ができる状態であると判断します。

■疎通試験OK
1)自分---(Echo Request)-->相手
2)自分<---(Echo Reply)----相手

■疎通試験NG
1)自分---(Echo Request)-->相手
2)相手からの応答なし

ICMP にはEcho Request/Echo Reply/...続きを読む

Qルータのログにものすごい勢いで不審なUDPパケットが流れている

ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか?

このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません。

どなたかお分かりになるかたおられましたらどうぞよろしくお願いいたします。

LAN IP Destination URL/IP Service/Port Number

192.168.1.1 83.148.97.169 20129 RIPE Network Coordination Centre
192.168.1.1 201.1.220.38 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.69.133.185 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 122.4.67.139 48510 Asia Pacific Network Information Centre
192.168.1.1 213.96.103.14 20129 RIMA
192.168.1.1 59.45.77.130 13165 Asia Pacific Network Information Centre
192.168.1.1 84.90.125.242 20129 RIPE Network Coordination Centre
192.168.1.1 10.0.3.154 5353
192.168.1.1 121.23.93.131 61401 Asia Pacific Network Information Centre
192.168.1.1 210.6.180.236 20129 EVERGREEN
192.168.1.1 162.39.190.162 62497 Windstream Communications Inc
192.168.1.1 72.137.99.155 20129 Rogers Cable Communications Inc
192.168.1.1 222.69.173.111 1964 Asia Pacific Network Information Centre
192.168.1.1 220.185.209.223 65037 CHINANET-ZJ-TZ
192.168.1.1 169.254.25.129 netbios-ns
192.168.1.1 164.77.109.193 60895 EU-ZZ-164
192.168.1.1 74.103.20.202 63526 Rogers Cable Communications Inc.
192.168.1.1 200.153.203.231 64573 TELECOMUNICACOES DE SAO PAULO S.A. - TELESP
192.168.1.1 82.52.103.78 13635 TELECOM-ADSL-5
192.168.1.1 189.13.33.68 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 200.159.220.164 20129 Brasil Telecomunicacoes SA
192.168.1.1 200.163.149.225 20129 Brasil Telecom S/A - Filial Distrito Federal
192.168.1.1 201.68.102.240 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.93.1.131 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 71.103.145.219 60228 Verizon Internet Services Inc.
192.168.1.1 190.84.130.84 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 77.123.150.154 20129
192.168.1.1 84.222.29.131 20129
192.168.1.1 61.229.34.145 20129
192.168.1.1 211.90.120.41 36235
192.168.1.1 189.10.151.172 20129
192.168.1.1 72.232.237.213 20129
192.168.1.1 200.191.185.241 20129
192.168.1.1 221.201.202.100 64529
192.168.1.1 200.149.87.233 20129
192.168.1.1 200.100.213.136 20129
192.168.1.1 87.10.134.223 20129
192.168.1.1 218.28.5.218 14340
192.168.1.1 10.0.3.154 5353
192.168.1.1 213.167.24.253 20129
192.168.1.1 201.41.173.19 20129
192.168.1.1 200.141.122.8 20129
192.168.1.1 200.149.87.233 20129

ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか?

このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません...続きを読む

Aベストアンサー

>このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか?
>PCがDDNSクライアント化さ登録をしようとしているのでしょうか?

(1)コマンド「nslookup 83.148.97.169」にて、接続先ホスト名を確認してください。
   こちらでは「fiber-169.unexbg.com」と表示されます。

(2)次に、「http://whois.prove-wsc.com/」などのサイトで
   「unexbg.com」を入力すると情報が表示されます。

(3)たとえば、「www.unexbg.com」にアクセスすると、どうやら、自作パソコンのネットショップのようです。

(4)上記のサイトのIPアドレスは「RIPE Network Coordination Centre」の管理下にあるのでしょう。
   ただ、この組織にパケットを送信していたとは考えにくいです。
   なにかの理由でドメイン「unexbg.com」管理下のサーバ「fiber-169.unexbg.com」に送信していた
   と考えるのが妥当です。

(5)上記のIPアドレスが「偽装」でないとすると、問題のPCの何かのプログラム、サービスが
   送信していたことになります。

(6)ちなみに、whois情報のメルアド「ivan_boev@dir.bg」
   のドメイン「dir.bg」もwhoisに登録があるようです。
   また、「http://www.eastcourt-rokko.com/domain/tlddata.html」にて「bg」を検索すると
   「ブルガリア」だそうです。
   ただし、IPアドレスが「偽装」だったりすると上記の調査は意味がないです。

(7)あと、リモートポート 20129を、よく使うサービス?がインストールされてるんでしょうか?
   この番号は、全く知らないです。
   以下のサイトが参考になります。
   「http://ja.wikipedia.org/」にて「ポート番号」で検索。

(8)WindowsXPでは、コマンド「netstat -a -b」で、アクティブな TCP/UDP 接続の実行可能ファイルの一覧が出ます。
   あやしいファイルがありますか?

(9)ごめんなさい。これ以上のことはわかりません。
   (スパイウェア文化についても、まだ勉強中です。)

>このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか?
>PCがDDNSクライアント化さ登録をしようとしているのでしょうか?

(1)コマンド「nslookup 83.148.97.169」にて、接続先ホスト名を確認してください。
   こちらでは「fiber-169.unexbg.com」と表示されます。

(2)次に、「http://whois.prove-wsc.com/」などのサイトで
   「unexbg.com」を入力すると情報が表示されます。

(3)たとえば、「www.unexbg.com」にアクセスすると、どうやら、...続きを読む

QVPSのポート番号が漏れると脆弱性は増加する?

・VPSを借りているのですが、空けているポート番号はどれぐらい秘密にしておくべきなのでしょうか?
・例えば、サイトを訪れた人に、そのサーバで空けているポート番号を知られた場合、攻撃される恐れとかあるでしょうか?

→ポート番号は絶対に教えては駄目?
→ポート番号知ったからと言って、それだけではどうすることできない?

・そもそも他人のポート番号は、簡単には調べられないものなのでしょうか?

■環境
・CentOS

Aベストアンサー

わざわざ公開したり言いふらしてまわる必要性自体がないかと。
だいたい普通の人は他人のサーバの開いているポート番号なんざ気にしません。

アタックしたいとかそういう風に考えている人が気にするものであって、
適切に設定していなければ秘密にしていたところでさっくり調べる方法はありますし。
# nmap使えばいいだけのハナシ。(まあ、一部のポートはISP側で外にアクセスできないように規制されていることもありますが)

>サイトを訪れた人に、そのサーバで空けているポート番号を知られた場合、攻撃される恐れとかあるでしょうか?

サイト訪れなくてもてきと~にポートスキャンしているスクリプトとかもありますしねぇ。
VPSだと管理の弱い利用者が居れば、まずはそこから落とされて周辺のIP(同じVPSサービス使っている可能性がある)へと攻撃が広がっていくことでしょう。
# むか~し、期間限定で22番を内部に通していた時にさくらのVPSなアドレスからsshブルートフォースを貰いましたよ。(つまりVPSで乗っ取られたヤツが居た…ということですな。)

>→ポート番号知ったからと言って、それだけではどうすることできない?

23番ポートがあいていたらとりあえずtelnet接続しみっか~。
もしかしたらブルートフォースでログインできっかもしんね~なぁ。
と考える人はいるかもしれませんね。
22番も同様。
# 国内からなら不正アクセス禁止法で問えるかもしれませんが、国外からじゃねぇ…。
途中のルートにパケットキャプチャ仕掛けるのは難しいでしょうから、telnetやFTPでアカウント名やパスワードを途中で抜かれる。というのは考えにくいでしょうけど。

>・そもそも他人のポート番号は、簡単には調べられないものなのでしょうか?

先に書いた通り、コマンドでサクっと調べられますよ。
通らないポートもあるでしょうが。
# 元々は自分のところのセキュリティとか調べる為に使う為のコマンド…と考えるべきでしょうがね。


特定のポートに特定のパターンでアクセスがあったら、別のポートを開ける。
とかいうようなツールを仕込んである場合はコマンド1発…とは行きませんけどね。
# 「iptables ノック」辺りで検索してください。

わざわざ公開したり言いふらしてまわる必要性自体がないかと。
だいたい普通の人は他人のサーバの開いているポート番号なんざ気にしません。

アタックしたいとかそういう風に考えている人が気にするものであって、
適切に設定していなければ秘密にしていたところでさっくり調べる方法はありますし。
# nmap使えばいいだけのハナシ。(まあ、一部のポートはISP側で外にアクセスできないように規制されていることもありますが)

>サイトを訪れた人に、そのサーバで空けているポート番号を知られた場合、攻撃される恐...続きを読む

Qホスト名でパケットフィルタリング

メールサーバを動かしているのですが、最近特定のホストからのアクセスが多くてこまっています。
ホスト名を指定してパケットをフィルタリングできるソフトはないでしょうか。
ソフトの条件
1.IPアドレスだけでなくリモートホスト名でパケットをフィルタリングできるソフト。
2.ホスト名で指定するとき、*.dynamic.hinet.net のように、ワイルドカードが使えるソフト。(この条件がなくてもOKです。)

だれかお願いします。

Aベストアンサー

他にもあると思いますが、「Symantec」に「Mail Security for SMTP」というのがあります。
OSはWindows、Solaris、Linuxに対応したものがありますので、参考にしてください。
評価版も用意されていますので、テスト運用も可能です。

参考URL:http://www.symantec.com/ja/jp/business/mail-security-for-smtp

QICMP pingについて

シマンテックのセキュリティスキャンでICMP pingのポートだけがオープンでした。ステルスにしようと思い、モデム(兼ルーター)で設定しようと思いましたが、ICMP pingに関して設定をいじれるところがありませんでした。一応PFW(ウイルスバスター2006)は導入していますが心配です。解決法や助言等をお教えくださいよろしくお願いします。

インターネット環境
・プロバイダ:OCN
・プラン:フレッツ光プレミアム
・モデム兼ルーター:VDSL VH 100 2ES1 「EX」
・PFW:ウイルスバスター2006(セキュリティレベル:中)

Aベストアンサー

No1です。
私はノートン先生なので詳しい設定方法はわかりませんがこれはどうでしょうか?
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-212322&id=JP-212322

PINGはICMPというプロトコルなのでICMPを遮断してみたらどうでしょうか。

Qルータとping、ネットワークコンピュータなどの関係

事務所内のLANについて疑問があり質問させていただきます。
今まで事務所内で別々にLAN-AとLAN-Bが張られていた
のですが業務拡張に伴いルータが入ります。そこで
ルータの仕組みについて教えてください。
・パソコンA(192.168.1.10)はLAN-Aに繋がれています。
・パソコンB(172.16.30.10)はLAN-Bに繋がれています。
・ルータはLAN-AとLAN-Bの両方に繋がれています。
このルータの設定は不明なのですが、管理の方曰く「LAN-Aと
LAN-Bを繋げるように設定しているよ」とのことなのですが、
これは、パソコンAより ping172.16.30.10と打つと、正常応答
が帰ってくるよ、という理解は正しかったでしょうか。

また、パソコンはすべてWindowsXPなのですが、エクスプローラ
のネットワークコンピュータの参照でパソコンAとBは互いに
ブラウズできたり共有フォルダを使ってファイル交換したり
LAN-AのパソコンからLAN-Bのプリンタへ印刷かけたり
ということがこのルータを経由して可能なのでしょうか?
ちなみに今まではLAN-A、LAN-Bで自由にそういうことを
やっていました。今度はルータのほかにドメイン形式に変更となり、
ファイルサーバも用意されるようです。ファイルサーバはLAN-A
に繋がるようです。

よろしくお願いいたします。

事務所内のLANについて疑問があり質問させていただきます。
今まで事務所内で別々にLAN-AとLAN-Bが張られていた
のですが業務拡張に伴いルータが入ります。そこで
ルータの仕組みについて教えてください。
・パソコンA(192.168.1.10)はLAN-Aに繋がれています。
・パソコンB(172.16.30.10)はLAN-Bに繋がれています。
・ルータはLAN-AとLAN-Bの両方に繋がれています。
このルータの設定は不明なのですが、管理の方曰く「LAN-Aと
LAN-Bを繋げるように設定...続きを読む

Aベストアンサー

> これは、パソコンAより ping172.16.30.10と打つと、正常応答
が帰ってくるよ、
> という理解は正しかったでしょうか。

「正しかった」ですよ。もちろん,そのネットワーク管理者が設定を間違えていなければ,ですが。
「ドメイン形式」と「ルータ」は基本的にはまったく別概念,というか比較対象ではありません。
恐らく,「ドメイン形式に変更」は,正確に書くと,「今までワークグループで管理していたネット
ワークにドメインコントローラ(またはアクティブディレクトリ・サーバ)を建てるという意味でしょ
う。通常は,TCP/IPでの接続が確保できている環境下で問題なく接続できるはずです。変なポートを
閉めていたり,ドメインに参加していなかったりしたら別ですが。

Qtracerouteのポート番号

度々質問させて頂いて申し訳ありませんが
どなたかご存知の方、教えていただけませんか?

現在のシステムで、通信経路を調べるのにtracerouteを使用して経路を調べたいのですが、
途中の経路にFireWallが入っており、FireWallにて弾かれているみたいなのです。
tracerouteってポート番号は何番を使用しているのでしょうか?
icmpではないのでしょうか?使用しているOSはAIXです。 宜しく御願い致します。

Aベストアンサー

#2 MovingWalkさんが言われているようにudpのtracerouteもあるので、
udpやICMPがフィルタされているかどうかの切り分けも含めて
pingでTTLを1から増加させてICMPのType11の返りを見てみてはいかがですか?

例えばWindowsなら
 ping -i 1 10.0.0.1
とかで-iの値をどんどん増加していくといった感じで。
ICMP Type11が返ってきたら
 Reply from xx.xx.xx.xx: TTL expired in transit.
といった感じの応答になります。

Qパケットフィルタリング設定について

みなさん、はじめまして。
メルコ製のAirStationを導入したのですが、パケットフィルタリングの設定がいまいちよく分かりません。
環境によって違うでしょうが、よく似た環境の方がいらっしゃったら教えていただけないでしょうか。

ルータ:BLR2-TX4 にWLI-PCM-L11Gを付けて無線機能を追加
PC1:有線。WinXP Pro
PC2:無線。WinXp Home
PC3:無線。Win98
それぞれのPCはファイル・プリンタの共有をしています。アクセス制限は施してあります。

この環境の場合、エアステーション設定のパケットフィルタのところで「インターフェイス」「宛先IPアドレス」「送信元IPアドレス」「プロトコル(ポートも)」にはどのように記述したらよいのでしょうか。

よろしくお願いします。

Aベストアンサー

基本的にはそのままの設定で使えるはずです。

特定のネットワークを利用するアプリケーションを利用するときのみフィルタを開ける設定をするのですが設定は参考URLを参考にしてください。

参考URL:http://buffalo.melcoinc.co.jp/qa/wireless/b13g0170.html


人気Q&Aランキング