仕事でよくNetscreenを使うのだが、このNetscreenで起った身の毛もよだつ、奇妙なお話。

ある顧客向けに、Netscreenを設定して現地に持ち込み、設置した。いざ試験をやってみると、

• UntrustからDMZ内のDNSサーバへのDNS問合せはできる
• DMZ内のDNSサーバからInternet(Untrust)へのDNS問合せはできない

という現象が発生した。
ポリシ(ルール)の問題でもない、NATの問題でもない、と調査を続けたところ、実はNetscreenのデフォルトゲートウェイの設定が間違っていることが判明。これを修正したら正常に動作した。

しかし、普通に考えるとこれはおかしい。外からの要求パケットがルータからNetscreenに届いて、NATされてDNSサーバまで届くのは問題ない。しかし、その応答で、DNSサーバからNetscreenに届きNATされた後、Netscreenからルータへの経路が正しくないわけだから、応答のパケットは迷子になりそうなものだ。

なぜだ。なぜなんだー！

これがうまく行くのは、Netscreenがセッションを記憶していて、これに従ってルーティングするからだ。つまり、応答パケットは、ルーティングテーブルに関係なく、要求パケットを送ってきた機器(のMACアドレス)に対して返される、ということだ。