Cisco ASA/PIX の小ネタです。ソフトウェアバージョン 7.X、6.X を想定しています。
"most used" とは?
Cisco ASA/PIX でコネクションテーブルを見るのは "show conn"、NAT テーブルは "show xlate" です。これらの出力結果には "most used" というカウンター値が表示されています。下の例で言えば "10" がそうです。
2 in use, 10 most used
(… 略)
恥ずかしながら実はこれが何のことかすぐにはわからなかったです(汗)。言われてみればその通りなのですが、これまでの最大コネクション数 (最大 NAT エントリ数) ですね。それはさておき、これらのテーブルのチェックに加えて "show access-list" でヒットカウンターを見るのと、先日紹介した capture コマンドで大部分の問題判別はできると思います。
Reverse Path Forwarding
Reverse Path Forwarding (RPF) とはルーティングテーブルとパケットのソースアドレスを照合して不適切なインターフェイスより届いたパケットをドロップするものです。FireWall-1 ではトポロジを設定して Anti-Spoof させますがそれと似たようなものですね。以下のようにインターフェイスを指定して ip verify reverse-path コマンドを実行することで機能が有効になります。
outside 側にはデフォルトルートが設定されているケースが多いと思いますが、その場合でも outside インターフェイスに RPF をかければ、内部アドレスをソースにしたパケットを落とすことができます。もちろん外部側のアドレスで Spoofing されたパケットが outside インターフェイスに届いた場合はどうしようもないのですが、そこは手動で Ingress フィルターを追加する手間を省くための機能ということで理解しましょう。
inside インターフェイスにかければ内部ルートとしてルーティングテーブルに載っているアドレスからのパケットのみを通すようになります。
結構 Cisco PIX/ASA に関する blog エントリが増えたので、ここらで一覧にまとめておきます。
- Cisco PIX/ASA ACL に関する小ネタ (ACL ログ、line 指定の ACE 追加、icmp コマンド)
- Cisco PIX/ASA の NAT: アドレス空間を完全に分ける
- Cisco PIX/ASA で NAT 変換を行わない設定
- PIX/ASA の policy-map (ICMP/UDP の扱い、IP の ACL)
- Cisco ASA でパケットキャプチャー
- Cisco PIX/ASA の transparent mode
- Cisco Adaptive Security Appliance Software Version 7 (7.X/6.X の差異)
「これが趣味なの?」って感じでしょうが、備忘録としてのブログなのでそこはご容赦を。
2007. 2. 16 追記:
×「most in used」→○「most used」です。訂正しました。何だかボケてます。