NAT 解決フィルターから分かるように、リモート・データ・エンドポイントは、クライアントの IP アドレス (10.3.1.1 または 10.3.2.2) ではなく、セキュリティー・ゲートウェイのパブリック IP アドレス (9.5.5.5) によって表されています。NAT 使用の事業所モデルで、2 つの FTP 接続を活動化した後で ipsec -o display コマンドを使用すると、ポート・マッピングは以下のように表示されます。
CS V1R12 ipsec Stack Name: TCPCS Tue Feb 16 11:43:55 2010
Primary: NATT Port Trans Function: Display Format: Detail
Source: Stack Scope: Current TotAvail: 2
RmtIpAddress: 9.5.5.5
Protocol: TCP(6)
TransRmtConnPort: 34732
OrigRmtConnPort: 34732
RmtInnerIpAddress: 10.3.1.1
***********************************************************************
RmtIpAddress: 9.5.5.5
Protocol: TCP(6)
TransRmtConnPort: 65535
OrigRmtConnPort: 34732
RmtInnerIpAddress: 10.3.2.2
***********************************************************************
2 entries selectedどちらの項目でも、リモート IP アドレス (RmtIpAddress) の値は 9.5.5.5 (事業所ゲートウェイの IP アドレス)、そのプロトコルは TCP (6)、そしてオリジナルのリモート接続ポート (OrigRmtConnPort) は 34732 です。最初の項目は、変換後のリモート接続ポート (TransRmtConnPort) も 34732 です。リモート内部 IP アドレスには、接続を開始したセキュリティー・ゲートウェイの背後にあるクライアントのプライベート・アドレス (10.3.1.1) が含まれています。2 番目の項目は、リモート接続ポートの値が 65535 (TransRmtConnPort) に変換済みであり、接続を開始するクライアントがプライベート IP アドレス 10.3.2.2 を使用していることを示しています。
表 1 は、1 つまたは両方のリモート・ポート値が、選択のために表示または使用される場所を幾つか示しています。
| 機能 | リモート・ポート値の使用方法 | 使用されるリモート・ポート (オリジナルか変換後か) |
|---|---|---|
| 接続データの Netstat 表示 (Netstat ALL/-A、Netstat ALLConn/-a、および Netstat COnn/-c など) | Netstat コマンドには、リモート・ポート値も含めて、接続情報を表示するための多数のオプションがあります。場合によっては、Netstat コマンドは、セレクターの 1 つとしてリモート・ポート値を取ります。 | 変換後のリモート・ポート |
| VIPA 接続ルーティング・テーブルの Netstat 表示 (netstat VCRT/-V) | このコマンドは、生成するレポートの趣旨に応じて、sport または Source フィールドにリモート・ポート値を表示し、ユーザーがポートに基づいて選択を行えるようにします。 | 変換後のリモート・ポート |
| パケット・トレース | パケット・トレースでは、受信または送信されたパケット・データが表示されます。このパケットが認証されているが暗号化はされていない場合は、ポートはパケット・トレース・データ内で見ることができます。 | オリジナル・リモート・ポート |
IPSecurity syslog メッセージ:
防御フィルタリングの syslog メッセージ:
|
インバウンド・パケットの場合は、これらのメッセージの sport フィールドにリモート・ポート値が含まれています。アウトバウンド・パケットの場合は、これらのメッセージの dport フィールドにリモート・パケット値が含まれています。これらのメッセージには、origport フィールドもあります。 | sport および dport フィールドには、変換後のリモート・ポートが含まれており、origport フィールドにはオリジナルのリモート・ポートが含まれています。 |
| ipsec -f コマンドおよび ipsec -t コマンドで表示される動的アンカー。 | ポリシー・エージェント構成ファイル内で構成されている動的アンカーでは、リモート・ポートとして、単一ポート、特定範囲のポート、または全ポートを指定することができます。リモート・ポートのこの指定により、オリジナル・ポートの変換先として使用できるポート範囲が制御されます。ある接続に対するオリジナル・ポートと変換後のポートの両方が、コーディングされているポート範囲に収まります。 | 構成済みのリモート・ポート値が表示されます。 この規則での突き合わせには、パケットのオリジナル・ポートが使用されます。表示されるリモート・ポート値には、オリジナル・ポートと変換後のポートの両方が含まれます。 |
| ipsec -f コマンドおよび ipsec -t コマンドで表示される NATT アンカー。 | NATT アンカー (セキュリティー・アソシエーションのネゴシエーションの結果として作成される) には、特定リモート・ポートまたは全ポートが含まれます。 | 特定ポートが表示されている場合は、オリジナル・リモート・ポート。 |
| ipsec -f コマンドおよび ipsec -t コマンドで表示される NATT 動的。 | NATT 動的 (セキュリティー・アソシエーションのネゴシエーションの結果として作成される) には、特定リモート・ポートまたは全ポートが含まれます。 | 特定ポートが表示されている場合は、オリジナル・リモート・ポート。 |
| -h オプション付きの ipsec -f コマンドで表示される NAT 解決フィルター (NRF)。 | NAT 解決フィルターは、接続レベル・フィルターの 1 つで、変換後のリモート・ポートとオリジナルのリモート・ポートの両方を含んでいます。 | 変換後のリモート・ポートとオリジナルのリモート・ポート。この規則での突き合わせには、パケットの変換後のポートが使用されます。 |
| ipsec -t コマンド | ipsec トラフィック・テスト・コマンドでは、フィルター選択基準としてリモート・ポート値を指定することができます。 | オリジナル・リモート・ポート |