はじめに
少し前に IX2106 の設定を大幅変更してからは、延々とログを垂れ流して観察する時間が増えている。
当初、特に頻出していた FLT[007]: BLOCK なんてあるログを抑制したかったので、NAPT と ACL の timeout を調整した。
どうやら NEC UNIVERGE IX シリーズってこの手のデフォルト値がえらく短いらしい。
気にしていたログ
以下のようなログが頻出する。
FLT[007]: BLOCK tcp [xxxx:xxxx:xxxx:2049::2]:443 > [yyyy:yyyy:yyyy:0:605f:c441:b9f6:63a9]:54755, match block-list, GigaEthernet0.0 in 外部ホストの 443/TCP から内部エフェメラルポートへのアクセスが BLOCK となっている。
これは主に内部発パケットの戻りパケットがセッションが切れにより、外部発のパケットとして認識、ブロックされるという動作。
よって、IPv4 なら NAPT と ACL、IPv6 なら ACL の timeout を伸ばせば解決するだろう。
IX2106 の設定を行う
IPv4
IPv4 に関しては次の通りに設定を行う。
接続は IPIP 方式による IPv4 over IPv6 なので、interface は Tunnel である。
! Global に書く
ip access-list dynamic timer tcp-fin-timeout 240
ip access-list dynamic timer tcp-idle-timeout 7440
ip access-list dynamic timer tcp-syn-timeout 240
interface Tunnel0.0
! 中略
ip napt translation tcp-timeout 7440
ip napt translation syn-timeout 240
ip napt translation finrst-timeout 240
RFC では MUST ではないが TCP Timeout は 2 時間 4 分が良いらしいので 7440 秒を設定。
SYN と FIN は 240 秒とした。
尚、UDP Timeout に関してはデフォルトの 300 秒で丁度良いので記載なしとしているが、明示的に書いておいても良いだろう。
これらを ACL と NAPT の両方で同じ値に揃えて設定。
IPv6
IPv6 の場合は ACL のみ。
! Global に書く
ipv6 access-list dynamic timer tcp-fin-timeout 240
ipv6 access-list dynamic timer tcp-idle-timeout 7440
ipv6 access-list dynamic timer tcp-syn-timeout 240こちらの設定値の根拠は IPv4 に同じ。
結果
上記設定を行った結果、暫くログを眺めていても FLT[007]: BLOCK tcp とあるログが頻出しなくなった。
無事に抑制することが出来た。というか正常に全ての戻りパケットを受けとることが出来るようになったのかな。
おわりに
ルーターという物はやはりログが大事だなと改めて思った。
気になった物はバンバン調べたり AI に聞いてみたりして解決策を模索すると良い環境ができあがる。
特に、長大なログであっても AI にぶん投げれば問題点を洗い出してくれたりするし、人間がやるよりも凄く早くて有用だから、是非とも活用していきたいところ。
コメント