平成15年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問1設問2解答と解説

目次

解答

(1)セッション単位に出力ポートがP1とP2に振り分けられ、出力したポートと同じポートに返送されてくる(48字)

(2)ISPのポリシでDNS逆引きによるメール発信者の認証を実施している場合、IP2-3は正しく逆引きできないため不正な発信者とみなされるから(68字)

解説

(1)
社内LANからのインターネット利用のパケット転送に関する問題です。インターネット利用時のヒントになる記述を再確認してみましょう。

③ アウトバウンドトラフィックの振り分け機能
 ISP側の二つのポートに対して、セション単位にアウトバウンドトラフィックを振り分けることで、回線の負荷分散を行う。振り分け比率は、任意に設定できる。

社内LANからのインターネットアクセスはアウトバウンドに当たりますので、この記載の通り、セッション単位に出力ポートが振り分けられます。
P1から出力される際は、透過モードなのでパケットはそのまま転送されます。その時の送信元アドレスはIP1-4(ファイアウォールのアドレス)であると思われます。LAN側からインターネットアクセスをする際、送信元アドレスがプライベートアドレスのままでは通信できないため、FWでIPマスカレード処理を実施していると考えられるからです。

また、P2から出力された場合の動作は、設問1でも解説したように、〔MHの設定と動作の概要〕の説明文におけるIPアドレスがNATテーブルに存在しない場合の通信が、これに当てはまります。つまり、LANからのインターネット利用は、P2のアドレスにIPマスカレードされているだけだということが分かります。

戻りのパケットは、出力されたポートと同じポートに戻ってきます。これはパケットがP1から出力された場合は送信元アドレスがISP1から割り当てられたもの(IP1-4)になり、P2から出力された場合は送信元アドレスがISP2から割り当てられたもの(IP2-1)になるからです。

以上をまとめると

P1からの出力:透過モードなのでパケットはそのまま出力される(送信元アドレスはIP1-4)
P2からの出力:P2のアドレスにIPマスカレードされる(送信元アドレスはIP2-1)
振り分け:セッション単位でP1とP2に出力を振り分ける
戻りのパケット:出力されたポートと同じポートに戻ってくる

以上を50字以内でまとめればよいでしょう。

セッション単位に出力ポートがP1とP2に振り分けられ、出力したポートと同じポートに返送されてくる(48字)

となります。

(2)
メールサーバによっては、メールの送信元IPアドレスが正しく逆引きされない場合には、受信を拒否するという設定がなされているものがあります。すべてのISPがこういった設定をしているわけではありませんが、一部のISPはスパムメール対策として逆引きによるメール発信者の認証を実施しています。もともとスパムメールはIPアドレスの逆引きが設定されていないことが多かったため、その対策としてこういった対策をすることが定着したようです。ただし、スパムではない通常のメールがすべて正しく逆引きできるというわけでもなく、また正しく逆引きができるスパムメールも存在するため、逆引きによる発信者の認証が必ずしも有効とは限らないので注意してください。

(b)の問題は、既存のDNSサーバの設定を変更しない、つまりISP2から割り当てられたIPアドレスの逆引き設定をしていないために起こる問題と考えられます。
これは「知っているかどうか」で解答できるかどうかが決まってしまう問題ですね。この現象を「知らない」人はいくら考えても答えが導けないかもしれません。

下線(b)の前後を見てみると

(a)MH-1に図3に示したIPアドレスを付与して表1の設定を行うことで,図1に示した既存のDNSサーバの設定を変更しないでそのまま利用できる。しかし,その場合には,(b)Y社から転送される電子メールの受信がISPのポリシによって拒否されるという問題が発生する可能性がある。この間題を発生させないようにするためには,既存のDNSサーバの設定を変更する必要がある。

「DNS」「電子メール」「ISPのポリシ」というキーワードからDNS逆引きにおける電子メールの発信者認証をすぐに連想できるようにしたいですね。
発信者認証の仕組みは以下の通りです。

H15A2-1-2pic1.JPG

以上より、電子メールの受信が拒否される理由を70字以内にまとめると

ISPのポリシでDNS逆引きによるメール発信者の認証を実施している場合、IP2-3は正しく逆引きできないため不正な発信者とみなされるから(68字)

となります。