Network×Network目次

スポンサードリンク

SSG tcp-syn-check

行きと帰りの経路が異なる場合FWがパケットを破棄してしまう。
非対称ルーティングは色々と注意が必要である。

特にファイアウォールで非対称ルーティングを行う場合
大概の機器で設定が必要であると思われる。

1.構成図
非対称ルーティング
ClientPCからServerAへ通信を行いたいのだが
ServerAのデフォルトゲートウェイはFWへ向いている。

FWにはClientPCセグメントのアドレスはスタティックで
記載しているのだが疎通確認がとれない。

2.行いたい通信
非対称ルーティング

3.設定
図を見た通り行きと帰りのルートが違うので
FWでパケットをドロップしてるようである。

ここで使用してるFWはJuniper社のSSGなのだが
GUIでは設定できないのでコンソールで設定する。

[確認]
TCP SYNチェックが有効になっていることを確認。
> get flow
Check TCP SYN bit before create session & refresh session
only after tcp 3 way handshake : YES

[設定]
TCP SYNチェックを無効にする。
> unset flow tcp-syn-check

[設定後確認]
無効になったことを確認。
> get flow
Check TCP SYN bit before create session & refresh session
only after tcp 3 way handshake : NO

確認後保存。
> save

これでPINGが飛ぶようになりました〜。

*Fortigateで非対称ルーティングを行う場合の設定

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Juniper | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック
ビットコイン取引高日本一の仮想通貨取引所 coincheck bitcoin


ブログパーツ
login

無料レンタル
login