- PR -

Firewall経由のHTTP通信

1
投稿者投稿内容
ひで
常連さん
会議室デビュー日: 2005/08/22
投稿数: 23
投稿日時: 2006-09-13 16:32
ある特定のHTTP通信がFirewallでDropされるため、種々調査中です。

クライアント > 内部Proxy > Firewall > DMZPROXY > 外部WWWサーバ

という通信なのですが、認証を利用するHTTP通信(ユーザ名・パスワードを入れる
タイプ)だけが外部と通信できません。
完全に不可能というわけではなく、ログイン画面までは問題なく通信でき、
必要事項を記入後にEnterをクリックすると、そのままタイムアウトになって
しまいます。

内部Proxyには、該当の通信がタイムアウトとなったログが残っておりました。
Firewall(Firewall-1)上では、

「SYN packet establishd connection」

というログが残っており、パケットがDropされています。したがって、DMZ上のProxy
サーバにはログがありません。

Firewallの動作自体は正常(不正なSYNパケットと検地している)のだと思うの
ですが、このような事象に遭遇した方はいらっしゃるでしょうか?
また、その場合のどのような回避策をとられたでしょうか?
ぽんす
ぬし
会議室デビュー日: 2003/05/21
投稿数: 1023
投稿日時: 2006-09-16 01:40
プロキシサーバのバグとか、ロードバランサのバグとかで
HTTPの通信がうまく行かない例には何度かぶつかった経験があります。

通信経路やら設定やらを変更しつつパケットをキャプチャして、
どこがまずいのか特定して対応しました。
てふてふ
会議室デビュー日: 2006/09/05
投稿数: 8
投稿日時: 2006-11-06 09:43
私の場合、
FirewallのStateful Inspectionを考えて、
DMZサーバでackを返すときに
SouceIP・Port番号、DestinationIP・Port番号等に変更がないか、
DMZ側でPacket Captureしてみてください。
(Firewall-1なのでPacketのデータまで見てるんでしたっけ?)

「SYN packet established connection」の発生要因を
Vendorさんに聞いてみたほうがよろしいかと思われます。
1

スキルアップ/キャリアアップ(JOB@IT)