[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:24940] Re: ipchains のログ機能



山内@あまり自信はないです

> こんにちは。松田陽一@三鷹です。
> 
> > > smtp に限らず、全ての通信は双方向である訳ですから、
> > > 
> > > /sbin/ipchains -A hoge -p tcp -s 0/0 -d 外向けのIPアドレス smtp -j DENY
> > > 
> > > とすることで、どうして外部からの接続要求と内部からの接続に対する
> > > 応答を区別できるのかが判らないのです。

TCPの場合、コネクションという概念があって、コネクション開設要求(SYN)
に対する応答(SYN, ACK)以降、全てのパケットにACKが設定されます。
なので、ACKが付いていれば応答だ、という判断になります。
# ESTABLISH なパケットという表現をする場合もありますね。
# このへんは TCP/IP の本に載っているでしょう。

あとは、
シーケンス番号っていうものがあって、それによってパケットの正しい
順序を判断します。パケットを送信した側は、応答パケットにどういう
シーケンス番号が付いて返ってくるはずか、ということがわかっている
ので、実際のシーケンス番号が期待したものと一致していれば正しい
パケットだと判断している、っていうことになるのだと思います。
# こっちはもう少しセキュリティよりな話として SYN Cookies
# のようなキーワードで探せば、もう少し面白い(?)かも。

--
山内 朋浩		handy@xxxxxxxxx