NetscreenのALGにはまる


NetscreenというかScreenOS 5.xからALG(アプリケーションレイヤゲートウェイ)なんて機能があるらしい。要はNAT越え出来ないftpとかのパケットをうまいように作り変えて救済してあげる大変便利な機能のようです。
いや、とても便利な機能ですよ。ftpのポリシーとかすげー書きやすくなってます。
が、ちょっと待って欲しい。WebUIのConfiguration->Advancedくらいから設定できるALGの設定。
これがデフォルトで全部有効とはどういうこと!?

この設定が有効だと特定のパケットを(本来なら)都合のいいようにNetscreenがいじくってくれるのだけど、これはあくまでALGの助けが必要なプロトコルのパケットが流れてくるという条件付だ。
たまたまそのプロトコルと同じポート番号を利用している別のプロトコルのパケットが流れると、そいつのパケットに対しても余計なお世話をしてしまう。
と、いうわけでコイツに相当はまりました。特定の通信だけNetscreenを経由するとまともに動いてくれません。パケット解析してもパケットがMalformed packetとなるところまではわかったけど、「じゃぁ何でパケットがおかしくなってるの?」で壁に当たるし。
しかもCLIで確認するとALGの設定は「デフォルト有効 = CLIのget configに項目すら出てこない。」という罠付きで、WebUI上から確認しないと設定の存在すら気づきませんでした。
確かに便利かもしれないけど、ALG使わない人にとってはハマりの元凶となる機能。せめてデフォルト無効にしてやるべきではないだろうか…。多分、ScreenOSのバージョンを4から5に上げて突然通信がおかしくなった人もいると思うんだよなぁ。

ってなわけでNetscreen経由で特定の通信だけ何故か動かないって人はALGを疑って見るのが解決になる可能性があるかもしれません。

あと、そういえば久しぶりにmtuの問題とか全二重、半二重のコリジョン問題とかにもぶち当たったな。今回のトラブルは骨が折れた…。

作成日:2009/08/21 02:00:17
トラックバック  ※トラックバックは承認後に表示されます。
TrackbackURL:このページのトラックバックの受付は終了しています。

トラックバックはありません。
コメント
名前:

タイトル:

コメント: