| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.2 アドレス変換機能 |
以下に、アドレス変換機能を利用する場合のパケットフィルタリング条件の設定における注意事項について説明します。
システムの起動時に、ポートマッパによって使用するポート番号が動的に割り当てられるサービスに対し、パケットフィルタリング条件を設定することはできません。
BSD 系のリモートコマンドが使用するサービスに対し、パケットフィルタリング条件を設定することはできません。
UDP の tftp のように、サーバからの応答パケットのサーバ側ポート番号が動的に割り振られるサービスに対して、パケットフィルタリング条件を設定することはできません。
アドレス変換機能でパケットを中継処理する時点では、送信先として指定されたホストが、実在するホストであるかは判断できません。このため、不当な送信先ホストを指定した場合、未確立コネクションにより、アドレス変換機能で使用しているコネクション情報に伴うメモリ資源が減少してしまうことが想定されます。一般に、不当な相手ホストへのTCP コネクションの確立保留時間は、OS 機能で制御され、通常、1 分以上が必要です。本製品 では、未確立のTCP コネクションの確立保留時間を指定できます。この機能を使用することで、不当に残留している未確立の TCPコネクション数を削減することができます。
未確立の TCP コネクションの保留時間の設定については、「ファイアウォール機能 リファレンスマニュアル」の「実行環境のチューニング」を参照してください。
UDP/ICMP の場合、TCP のようなコネクションの概念はないため、アドレス変換機能で使用しているコネクション情報に伴うメモリ資源を解放するタイミングはありません。このため、本製品 では、UDP/ICMP データについては、無通信状態となってからのタイムアウトにより、上記コネクション情報に伴うメモリ資源の解放を行っています。
UDP/ICMP データのタイムアウトの設定については、「ファイアウォール機能 リファレンスマニュアル」の「実行環境のチューニング」を参照してください。
|
目次
索引
|