ルータのパケットフィルタルールにWAN側UDP禁止にしたらなぜかPINGのリプライが返ってこなくなりました。ICMPパケットってNAPTではUDPでラップされるんですか?

このQ&Aに関連する最新のQ&A

A 回答 (2件)

本来のNAPTはicmpプロトコルは通さないみたいなので、ルーターが独自実装して通しているんだと思う。



で、どういう実装をしているかはルーターのメーカー側に訊くしかないと思うんだけど。
そのメーカーのサポートに質問してみれば良いと思う。

 【参考】
  http://www.keyman.or.jp/3w/prd/94/61000594/

#質問者殿のルーターの場合は、UDP扱いで変換テーブルに登録されているという実装なのかも
    • good
    • 0

PINGと呼ばれるものは本来ICMPですが


ICMPを弾く機器も多いため
TCP PINGやUDP PINGと言うものが存在します。
(実際に多くで利用されています)

送信している機器がICMPで送信しても
FireWall機器が、TCP PINGに変換するなんてのもありますので
そもそもどこで、UDPになっているのかを調べてみては如何でしょう?
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qtracerouteコマンドとポート番号

Linuxでtracerouteを実行して見ていると、ICMPのtime exceededが返ってくるたびに宛先ポート番号が変わっている(インクリメントされている)みたいなのですが、これはどういう意図でこのようになっているのでしょうか?


IP 192.168.1.1.33781 > 192.168.10.0.33434: UDP, length 32
IP 192.168.1.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68
IP 192.168.1.1.51585 > 192.168.10.0.33435: UDP, length 32
IP 192.168.2.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68
IP 192.168.1.1.58491 > 192.168.10.0.33436: UDP, length 32
IP 192.168.3.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68

Linuxでtracerouteを実行して見ていると、ICMPのtime exceededが返ってくるたびに宛先ポート番号が変わっている(インクリメントされている)みたいなのですが、これはどういう意図でこのようになっているのでしょうか?


IP 192.168.1.1.33781 > 192.168.10.0.33434: UDP, length 32
IP 192.168.1.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68
IP 192.168.1.1.51585 > 192.168.10.0.33435: UDP, length 32
IP 192.168.2.2 > 192.168.1.1: ICMP time exceeded in-transit, length 68
IP 192.168...続きを読む

Aベストアンサー

tracerouteが送信するUDPパケットのポート番号を変化させているのは、受信したICMP time exceedが、自分送信したどのUDPパケットに対応するものか認識する必要があるためです。
(自分がUDPパケットを送信した順番で、それぞれのUDPパケットに対応するICMP time exceed が返ってくるとは限らないため。さらにtraceroute を複数同時に動かした場合の考慮も必要です。)

どのように自分が送信したUDPと、受信したICMPの照合をとるかというと、

 ICMP time exceed パケットの中には、それの原因となった
 UDPパケットのIPヘッダ+UDPヘッダの先頭8バイトがコピーされている(RFC972)

ということを利用しています。つまり、tracerouteはTTLを増やしながら送信するUDPパケットヘッダの内容を色々変えながら送信しつつ、その内容を覚えておき、受信したICMPパケットにくっついていたIP/UDPヘッダと照合することで認識します。

ここで、アプリケーションが自由に変更でき、重複が発生しない程度に十分広い空間を持つフィールドは、UDPヘッダのポート番号くらいです。他のヘッダフィールドは、ほとんどいじる余地がありません(いじるとだいたい不正なパケットになってしまいます)。UDPポート番号が変化する理由はこれです。

どのように変化させているかの詳細は、tracerouteのソースコードのコメントに記載されています(参考URL)。

参考URL:http://svn.freebsd.org/viewvc/base/head/contrib/traceroute/traceroute.c?revision=216184&view=markup

tracerouteが送信するUDPパケットのポート番号を変化させているのは、受信したICMP time exceedが、自分送信したどのUDPパケットに対応するものか認識する必要があるためです。
(自分がUDPパケットを送信した順番で、それぞれのUDPパケットに対応するICMP time exceed が返ってくるとは限らないため。さらにtraceroute を複数同時に動かした場合の考慮も必要です。)

どのように自分が送信したUDPと、受信したICMPの照合をとるかというと、

 ICMP time exceed パケットの中には、それの原因となった
 UDPパケ...続きを読む

QIPパケット、TCPパケット、UDPパケット

IPパケット、TCPパケット、UDPパケットのヘッダ構造とはどんなものなのでしょうか?また各々のフィールドがどのような役割を担っているのかについて教えてください。お願いしますm(__)m

Aベストアンサー

下記、URLのページを参照ください。

○IPパケット
 @IT:基礎から学ぶWindowsネットワーク 第10回
 →1.IPパケットの構造
 http://www.atmarkit.co.jp/fwin2k/network/baswinlan010/baswinlan010_02.html

○TCPパケット
 @IT:基礎から学ぶWindowsネットワーク 第15回
 →1.TCPパケットの構造
 http://www.atmarkit.co.jp/fwin2k/network/baswinlan015/baswinlan015_02.html

○UDPパケット
 @IT:基礎から学ぶWindowsネットワーク 第13回
 →2.UDPパケットの構造
 http://www.atmarkit.co.jp/fwin2k/network/baswinlan013/baswinlan013_03.html

QVPSのポート番号が漏れると脆弱性は増加する?

・VPSを借りているのですが、空けているポート番号はどれぐらい秘密にしておくべきなのでしょうか?
・例えば、サイトを訪れた人に、そのサーバで空けているポート番号を知られた場合、攻撃される恐れとかあるでしょうか?

→ポート番号は絶対に教えては駄目?
→ポート番号知ったからと言って、それだけではどうすることできない?

・そもそも他人のポート番号は、簡単には調べられないものなのでしょうか?

■環境
・CentOS

Aベストアンサー

わざわざ公開したり言いふらしてまわる必要性自体がないかと。
だいたい普通の人は他人のサーバの開いているポート番号なんざ気にしません。

アタックしたいとかそういう風に考えている人が気にするものであって、
適切に設定していなければ秘密にしていたところでさっくり調べる方法はありますし。
# nmap使えばいいだけのハナシ。(まあ、一部のポートはISP側で外にアクセスできないように規制されていることもありますが)

>サイトを訪れた人に、そのサーバで空けているポート番号を知られた場合、攻撃される恐れとかあるでしょうか?

サイト訪れなくてもてきと~にポートスキャンしているスクリプトとかもありますしねぇ。
VPSだと管理の弱い利用者が居れば、まずはそこから落とされて周辺のIP(同じVPSサービス使っている可能性がある)へと攻撃が広がっていくことでしょう。
# むか~し、期間限定で22番を内部に通していた時にさくらのVPSなアドレスからsshブルートフォースを貰いましたよ。(つまりVPSで乗っ取られたヤツが居た…ということですな。)

>→ポート番号知ったからと言って、それだけではどうすることできない?

23番ポートがあいていたらとりあえずtelnet接続しみっか~。
もしかしたらブルートフォースでログインできっかもしんね~なぁ。
と考える人はいるかもしれませんね。
22番も同様。
# 国内からなら不正アクセス禁止法で問えるかもしれませんが、国外からじゃねぇ…。
途中のルートにパケットキャプチャ仕掛けるのは難しいでしょうから、telnetやFTPでアカウント名やパスワードを途中で抜かれる。というのは考えにくいでしょうけど。

>・そもそも他人のポート番号は、簡単には調べられないものなのでしょうか?

先に書いた通り、コマンドでサクっと調べられますよ。
通らないポートもあるでしょうが。
# 元々は自分のところのセキュリティとか調べる為に使う為のコマンド…と考えるべきでしょうがね。


特定のポートに特定のパターンでアクセスがあったら、別のポートを開ける。
とかいうようなツールを仕込んである場合はコマンド1発…とは行きませんけどね。
# 「iptables ノック」辺りで検索してください。

わざわざ公開したり言いふらしてまわる必要性自体がないかと。
だいたい普通の人は他人のサーバの開いているポート番号なんざ気にしません。

アタックしたいとかそういう風に考えている人が気にするものであって、
適切に設定していなければ秘密にしていたところでさっくり調べる方法はありますし。
# nmap使えばいいだけのハナシ。(まあ、一部のポートはISP側で外にアクセスできないように規制されていることもありますが)

>サイトを訪れた人に、そのサーバで空けているポート番号を知られた場合、攻撃される恐...続きを読む

Qルータのログにものすごい勢いで不審なUDPパケットが流れている

ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか?

このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません。

どなたかお分かりになるかたおられましたらどうぞよろしくお願いいたします。

LAN IP Destination URL/IP Service/Port Number

192.168.1.1 83.148.97.169 20129 RIPE Network Coordination Centre
192.168.1.1 201.1.220.38 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.69.133.185 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 122.4.67.139 48510 Asia Pacific Network Information Centre
192.168.1.1 213.96.103.14 20129 RIMA
192.168.1.1 59.45.77.130 13165 Asia Pacific Network Information Centre
192.168.1.1 84.90.125.242 20129 RIPE Network Coordination Centre
192.168.1.1 10.0.3.154 5353
192.168.1.1 121.23.93.131 61401 Asia Pacific Network Information Centre
192.168.1.1 210.6.180.236 20129 EVERGREEN
192.168.1.1 162.39.190.162 62497 Windstream Communications Inc
192.168.1.1 72.137.99.155 20129 Rogers Cable Communications Inc
192.168.1.1 222.69.173.111 1964 Asia Pacific Network Information Centre
192.168.1.1 220.185.209.223 65037 CHINANET-ZJ-TZ
192.168.1.1 169.254.25.129 netbios-ns
192.168.1.1 164.77.109.193 60895 EU-ZZ-164
192.168.1.1 74.103.20.202 63526 Rogers Cable Communications Inc.
192.168.1.1 200.153.203.231 64573 TELECOMUNICACOES DE SAO PAULO S.A. - TELESP
192.168.1.1 82.52.103.78 13635 TELECOM-ADSL-5
192.168.1.1 189.13.33.68 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 200.159.220.164 20129 Brasil Telecomunicacoes SA
192.168.1.1 200.163.149.225 20129 Brasil Telecom S/A - Filial Distrito Federal
192.168.1.1 201.68.102.240 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.93.1.131 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 71.103.145.219 60228 Verizon Internet Services Inc.
192.168.1.1 190.84.130.84 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 77.123.150.154 20129
192.168.1.1 84.222.29.131 20129
192.168.1.1 61.229.34.145 20129
192.168.1.1 211.90.120.41 36235
192.168.1.1 189.10.151.172 20129
192.168.1.1 72.232.237.213 20129
192.168.1.1 200.191.185.241 20129
192.168.1.1 221.201.202.100 64529
192.168.1.1 200.149.87.233 20129
192.168.1.1 200.100.213.136 20129
192.168.1.1 87.10.134.223 20129
192.168.1.1 218.28.5.218 14340
192.168.1.1 10.0.3.154 5353
192.168.1.1 213.167.24.253 20129
192.168.1.1 201.41.173.19 20129
192.168.1.1 200.141.122.8 20129
192.168.1.1 200.149.87.233 20129

ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか?

このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません...続きを読む

Aベストアンサー

>このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか?
>PCがDDNSクライアント化さ登録をしようとしているのでしょうか?

(1)コマンド「nslookup 83.148.97.169」にて、接続先ホスト名を確認してください。
   こちらでは「fiber-169.unexbg.com」と表示されます。

(2)次に、「http://whois.prove-wsc.com/」などのサイトで
   「unexbg.com」を入力すると情報が表示されます。

(3)たとえば、「www.unexbg.com」にアクセスすると、どうやら、自作パソコンのネットショップのようです。

(4)上記のサイトのIPアドレスは「RIPE Network Coordination Centre」の管理下にあるのでしょう。
   ただ、この組織にパケットを送信していたとは考えにくいです。
   なにかの理由でドメイン「unexbg.com」管理下のサーバ「fiber-169.unexbg.com」に送信していた
   と考えるのが妥当です。

(5)上記のIPアドレスが「偽装」でないとすると、問題のPCの何かのプログラム、サービスが
   送信していたことになります。

(6)ちなみに、whois情報のメルアド「ivan_boev@dir.bg」
   のドメイン「dir.bg」もwhoisに登録があるようです。
   また、「http://www.eastcourt-rokko.com/domain/tlddata.html」にて「bg」を検索すると
   「ブルガリア」だそうです。
   ただし、IPアドレスが「偽装」だったりすると上記の調査は意味がないです。

(7)あと、リモートポート 20129を、よく使うサービス?がインストールされてるんでしょうか?
   この番号は、全く知らないです。
   以下のサイトが参考になります。
   「http://ja.wikipedia.org/」にて「ポート番号」で検索。

(8)WindowsXPでは、コマンド「netstat -a -b」で、アクティブな TCP/UDP 接続の実行可能ファイルの一覧が出ます。
   あやしいファイルがありますか?

(9)ごめんなさい。これ以上のことはわかりません。
   (スパイウェア文化についても、まだ勉強中です。)

>このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか?
>PCがDDNSクライアント化さ登録をしようとしているのでしょうか?

(1)コマンド「nslookup 83.148.97.169」にて、接続先ホスト名を確認してください。
   こちらでは「fiber-169.unexbg.com」と表示されます。

(2)次に、「http://whois.prove-wsc.com/」などのサイトで
   「unexbg.com」を入力すると情報が表示されます。

(3)たとえば、「www.unexbg.com」にアクセスすると、どうやら、...続きを読む

Qtracerouteのポート番号

度々質問させて頂いて申し訳ありませんが
どなたかご存知の方、教えていただけませんか?

現在のシステムで、通信経路を調べるのにtracerouteを使用して経路を調べたいのですが、
途中の経路にFireWallが入っており、FireWallにて弾かれているみたいなのです。
tracerouteってポート番号は何番を使用しているのでしょうか?
icmpではないのでしょうか?使用しているOSはAIXです。 宜しく御願い致します。

Aベストアンサー

#2 MovingWalkさんが言われているようにudpのtracerouteもあるので、
udpやICMPがフィルタされているかどうかの切り分けも含めて
pingでTTLを1から増加させてICMPのType11の返りを見てみてはいかがですか?

例えばWindowsなら
 ping -i 1 10.0.0.1
とかで-iの値をどんどん増加していくといった感じで。
ICMP Type11が返ってきたら
 Reply from xx.xx.xx.xx: TTL expired in transit.
といった感じの応答になります。

Qホスト名でパケットフィルタリング

メールサーバを動かしているのですが、最近特定のホストからのアクセスが多くてこまっています。
ホスト名を指定してパケットをフィルタリングできるソフトはないでしょうか。
ソフトの条件
1.IPアドレスだけでなくリモートホスト名でパケットをフィルタリングできるソフト。
2.ホスト名で指定するとき、*.dynamic.hinet.net のように、ワイルドカードが使えるソフト。(この条件がなくてもOKです。)

だれかお願いします。

Aベストアンサー

他にもあると思いますが、「Symantec」に「Mail Security for SMTP」というのがあります。
OSはWindows、Solaris、Linuxに対応したものがありますので、参考にしてください。
評価版も用意されていますので、テスト運用も可能です。

参考URL:http://www.symantec.com/ja/jp/business/mail-security-for-smtp

Q最低限必要な開いておくべきポート番号

最低限必要な開いておくべきポート番号
インターネットに繋ぐ上で「最低限必要な開いておくべき
ポート番号のわかるページ」を探しています。
ルーターで設定するためです。どのポートを塞いでいくで
はなく、使うポートだけ開きたいためでもあります。

「メールの送受信・ホームページ作成(アップロード)・セキ
ュリティソフトで使用するポート番号、時刻あわせ等のシス
テムで使用するポート番号」のみ知りたいです。

Aベストアンサー

WAN→LAN(inbound)は、全て閉じます。
LAN→WAN(outbound)については、一般的に以下のポートを
開けます。

メール送信
→TCP25(メールサーバによってはTCP587)

メール受信
→TCP110

ホームページアップロード
→ftp(PASV)ならTCP20,TCP21
httpならTCP80

セキュリティソフトで使用するポート
→これはセキュリティソフトのアップデートに使用される
ポートのことだと思いますが、セキュリティソフトによって
異なると思います。たぶんTCP80を使用するケースが多いと思います。

時刻あわせ(NTP)
→UDP123

だいたいこんなところですが、いずれも代表的なものであり、
相手サーバによっては、あえて一般的なポート番号と
異なるポート番号でサービスを提供している場合もあります。
例えば、http://hostname:8080/ といったURLでアクセスする
Webページを利用しているのであれば、TCP8080を開ける必要があります。

なので、ルーターの設定は、たいていみんなinboundを全て閉じて、
outboundは全て開けます。
そしてoutboundの制御は、PC上にインストールしたセキュリティソフトの
機能を使って、信頼できるプログラム以外は通信を開始できないよう制御する
のが一般的だと思います。

WAN→LAN(inbound)は、全て閉じます。
LAN→WAN(outbound)については、一般的に以下のポートを
開けます。

メール送信
→TCP25(メールサーバによってはTCP587)

メール受信
→TCP110

ホームページアップロード
→ftp(PASV)ならTCP20,TCP21
httpならTCP80

セキュリティソフトで使用するポート
→これはセキュリティソフトのアップデートに使用される
ポートのことだと思いますが、セキュリティソフトによって
異なると思います。たぶんTCP80を使用するケースが多いと思います。

時刻あわせ(NTP)
→UDP123

だい...続きを読む

Qパケットフィルタリング設定について

みなさん、はじめまして。
メルコ製のAirStationを導入したのですが、パケットフィルタリングの設定がいまいちよく分かりません。
環境によって違うでしょうが、よく似た環境の方がいらっしゃったら教えていただけないでしょうか。

ルータ:BLR2-TX4 にWLI-PCM-L11Gを付けて無線機能を追加
PC1:有線。WinXP Pro
PC2:無線。WinXp Home
PC3:無線。Win98
それぞれのPCはファイル・プリンタの共有をしています。アクセス制限は施してあります。

この環境の場合、エアステーション設定のパケットフィルタのところで「インターフェイス」「宛先IPアドレス」「送信元IPアドレス」「プロトコル(ポートも)」にはどのように記述したらよいのでしょうか。

よろしくお願いします。

Aベストアンサー

基本的にはそのままの設定で使えるはずです。

特定のネットワークを利用するアプリケーションを利用するときのみフィルタを開ける設定をするのですが設定は参考URLを参考にしてください。

参考URL:http://buffalo.melcoinc.co.jp/qa/wireless/b13g0170.html

Qポート番号の振り方のルール

ネットの勉強中(趣味で)です。TCPヘッダーにあるポート番号は、例えばブラウザなどでwebページを見ようとすると、あて先ポート番号は80(HTTP)で、こちらから送る場合の発信元ポート番号は1025以上の番号だと本に書いてありましたが、80はRFCで規定されているとのことですが、では、発信元ポート番号はどのようなルールで誰が(例えばブラウザのプログラム?)が決めるのですか?ご存知でしたら教えてください。

Aベストアンサー

#2です。
ちょうどいいページがありましたのでご紹介しておきます。
こちらもご覧ください。
http://www.mm-labo.com/computer/tcpip/ipaddress/portsort.html

参考URL:http://www.mm-labo.com/computer/tcpip/ipaddress/portsort.html

Qダイナミックパケットフィルタリングの動作、SPIとの関係

ステイトフルパケットインスペクション(SPI)は
ダイナミックパケットフィルタリングを発展させたものだと聞きましたが、SPIにはダイナミックパケットフィルタリングが持つ、"要求に応答するポートだけを応答のために必要な期間のみ動的に開く”といった動作も踏襲しているのでしょうか?

ルータなどを購入する際に、"SPI対応”や"ダイナミックパケットフィルタリング対応”などの記載がありますが、"SPI対応”とさえ書いてあればそれはダイナミックパケットフィルタリングの機能も持っていると解していいものなのか疑問に思っています。

あと、ダイナミックパケットフィルタリング機能の、動的にポートを開閉する仕組みについて興味があります。

いったい通信のどの段階で、どこを見てポートを空けたりするのか、新たに返送用の入り口を設定するとはどういうことなのか知りたいのですが、参考になりそうなURLなども教えていただけるととてもありがたいです。回答お願いします。

Aベストアンサー

> ステートフルインスペクション=全ての層をチェックするダイナミックパケットフィルタリングという感じなのでしょうか?

全ての層というよりも、高機能と言う方が適当かもしれません。
高機能の中に、上位レイヤまで含まれると捉えてください。


企業やIDC で使用されているFirewall には、
まさにネットワークレイヤから必要に応じてアプリケーションレイヤまで参照し、
パケット評価を行う真の「ステートフルインスペクション」機能をサポートしています。

ステートフルインスペクションには、異なるプロトコルへのセッション引継ぎが可能です。
例えば、H.323 でのシグナリング後、RTP への引渡しなどが可能です。


> 用者がルールの定義(パケットフィルタリングのような)を設定することももちろんできますよね?

もちろん可能です。
通したい通信はAccept として設定するのはもちろん、
通したくない通信はDeny として破棄させることもできます。

また、Firewall の多くは、基本的に何も設定しなければ、
デフォルトで通信を全て遮断します。


> ステートフルインスペクション機能が先に通信の判定をするのなら、nortonによるパケットフィルタリングは不要なのでしょうか?

賛否両論です。
最近では企業内でも多段Firewall を設置するケースがあります。
※PC にインストールするFirewall はあまり利用されません。

個人的な見解ですが、私ならPC でFirewall は利用しません。

もちろん、ルータのFirewall よりもPC のFirewall の方が機能的には上です。
外部からの不振な通信を遮断するのはもちろん、
PC 本体からの出ようとする不振な通信も利用者に通知し、遮断することが可能です。

しかし、PC からの通信をインスペクトするために、
Firewall プログラムがCPU やメモリを消費してしまうので、
他のアプリケーションのパフォーマンスを低下させる恐れがあります。

セキュリティ上、どこまでを考えるかになりますが、
私はパフォーマンスを優先し、PC にFirewall Soft を利用していません。
その代わり、スパイウェア対策ツールやブラウザの使い分けを行っており、P2P は行いません。
また、ルータはISP から借りているNAT 機能しか無いものです。

この辺はPC の使用状況などによって変わってきますので、
最終的な判断はお任せします。

> ステートフルインスペクション=全ての層をチェックするダイナミックパケットフィルタリングという感じなのでしょうか?

全ての層というよりも、高機能と言う方が適当かもしれません。
高機能の中に、上位レイヤまで含まれると捉えてください。


企業やIDC で使用されているFirewall には、
まさにネットワークレイヤから必要に応じてアプリケーションレイヤまで参照し、
パケット評価を行う真の「ステートフルインスペクション」機能をサポートしています。

ステートフルインスペクションには、異...続きを読む


人気Q&Aランキング