不思議なプロトコル

今週FWの設定変更をしました。
トラフィックが急激に増えることが予測できたので２週間後に撤去予定のFWなので強力な装置に交換するのももったいないからCPU負荷をかけているセッション管理機能をオフにしました。

そしたら次の日からFWを通してのｆｔｐ通信が出来ないというお客様からの申告がありました。
調べるとなんとｆｔｐってPCからサーバーにセッションを張るだけでなくサーバーから送られてくるデータはサーバー側からPCに対してhigh portで接続してくるんですね。
当然コマンドの内容にPCが何番のhigh portで待っているとサーバーに通知しているんですが。
ところがセッション管理をしていればコマンドのセッションとサーバーから張ってくるデータのセッションは対になっていますとFWがわかるので許可済みとして通過できます。セッション管理を切ったのであたかもサーバーからFWの内側に対してhigh portの接続を試みてきたように見え拒否をしていたそうです。
こんなことをしているって今回は勉強になりました。

２週間後に新しい経路に変更するのですがそっちで使うFWは処理能力が高いものなのでまたセッション管理をするようになるのでこんなトラブルは起きないようです。
２週間後に切り替わる新しい