興味持つ人がすごく少ないであろうエントリーなんですが、衝撃だったので書いとく。
ある接続のみ、特定のサイトにだけ接続できないという事例がありました。
調べてみると、その接続で取ってるIPアドレス4オクテット目が255になっており、それを255以外に変更するとその特定サイトにも接続が出来るようになりました。
つまり、送信元IPアドレスの4オクテット目が255とか0(つまりIPが202.111.222.255とか)だとそれだけで通信遮断しちゃう設定になってるルータがいるようなのです。
ネットマスクが255.255.255.0になっている場合、ホストアドレスが255(例えば192.168.0.255など)の場合、それはブロードキャストアドレスになるため、特別な意味を持ってきます。
だからイントラの場合であれば、そういうソースIPからの通信が来たらおかしいと判断して通信を遮断する、というのはアリだと考えます。
しかし、普通の外に出てる、インターネット上にあるルータの場合、そんな単純なフィルタをしたら当然、通信がうまく通らないという問題が起きてしまいます。
なので自分は、そんな設定がされてるルータが(少なくともちゃんとネットワークが管理されているようなところで)いるなんて思っていませんでした。
が、どうも超大手の某N社系列会社さんホスティングサービスの手前にいるルータが、そういう動きしてくれるんですよね…
正直、ちょっとどうよ?と思いました。
デフォルトでこういう設定されてるFWとかアプライアンスって存在してるのでしょうか?
また、こういう設定ってどのくらい一般的に行われているものなんでしょう?
あとそういう設定を薦めてるページとかご存知でしたら教えて下さい。
(追記)
@lukather7 さんからこういうパターンでね?というのを教えてもらいました。
偽装ICMPを投げられた時にリダイレクトされたsmurfアタックになることを防止しようとしてるのかな?
つまり、送信元IPをブロードキャストアドレスで偽装したping投げて、偽装IPで狙った先にping floodを簡単に起こすみたいな感じですかね。
確かにこのシナリオを防ぐのを意図して、短絡的に設定しちゃったってのはありそうかも。