[debian-users:24959] Re: ipchains のログ機能

[Tomohiro Yamauchi (山内 朋浩) <handy@xxxxxxxxx>]

山内です。

> こんにちは。松田陽一@三鷹です。
> 
> > TCPの場合、コネクションという概念があって、コネクション開設要求(SYN)
> > に対する応答(SYN, ACK)以降、全てのパケットにACKが設定されます。
> > なので、ACKが付いていれば応答だ、という判断になります。
> 
> なるほど、 ACK が付されているパケットは許容する、というロジックが
> 含まれているのですね。
> ということは、 ipchains がカーネルに設定するルールの対象のパケッ
> トは、 SYN が付されているパケットにおいて適用される訳ですね。

おそらく (^^;;;

> > あとは、
> > シーケンス番号っていうものがあって、それによってパケットの正しい
> > 順序を判断します。パケットを送信した側は、応答パケットにどういう
> > シーケンス番号が付いて返ってくるはずか、ということがわかっている
> > ので、実際のシーケンス番号が期待したものと一致していれば正しい
> > パケットだと判断している、っていうことになるのだと思います。
> 
> 確か、 UDP はそのようなものを持たなかったんじゃないかとおぼろげに
> 記憶しているのですが…

そうですね。僕が書いた2つの話は両方ともTCPに限った話です。
UDPにはコネクションという概念がないので、上位層で頑張るしか
ないんじゃないですかね。

> ここから先はちょっと深みにハマりそうなので後程。^^;

僕もこれ以上つっこまれると答えられません (^^;

	山内＠勉強になるのでいいんだけど