X-Forwarded-Forを信頼してはいけないケース(誤判定・事故を防ぐ判断基準)
ロードバランサ(LB)配下のHTTP/HTTPS構成で、 「クライアントIPはX-Forwarded-Forを見ればいい」 と説明されることは非常に多いです。 しかし実務では、 IP制限がすり抜ける ログのIPが信用できない 攻撃元を誤認する といった事故が、X-Forwarded-For(...Proxy Protocol導入時に必ずハマる罠(通信断・誤判定の正体)
ロードバランサ(LB)配下でクライアントIPを保持するために、 「Proxy Protocolを有効にしました」 ──その直後から、 通信できなくなった アプリが応答しない ログが壊れた というトラブルに直面するケースは非常に多いです。 Proxy Protocolは便利ですが...SNATありLB構成でクライアントIPを扱う設計判断(なぜ迷うのか・どう決めるのか)
ロードバランサ(LB)構成でよくある悩みが、 「SNATを有効にするとクライアントIPが見えなくなるが、これは問題なのか?」 というものです。 ログにLBのIPしか出ない アクセス制御ができない でも通信自体は正常 この状態で、 「SNATを切るべき?」「Prox...ロードバランサ配下で戻り通信が消える典型パターンと切り分け方法
ロードバランサ(LB)配下のシステムで、次のような現象に遭遇したことはないでしょうか。 クライアントからの通信はLBに届いている バックエンドサーバにも到達している しかし、レスポンスが返ってこない このとき多くの現場で言われるのが、 「ルーティ...ルーティングは正しいのに戻り通信が来ない時の切り分け(非対称通信の落とし穴)
ネットワークトラブルで特に厄介なのが、 「ルーティングは合っているのに、なぜか通信が成立しない」 というケースです。 pingの送信は出ている ルートも正しい tcpdumpでも送信は見える それでも戻り通信が来ない。 この状況は、単なるルーティング問題...ARPキャッシュとMACテーブルの違いと切り分け方法(L2通信障害の最短ルート)
ネットワークトラブルの現場で、 「ARPがおかしいのか?MACテーブルがおかしいのか?」 と迷ったことはないでしょうか。 この2つはどちらもL2に関係しますが、 役割・保持主体・障害の出方がまったく異なります。 混同したまま切り分けを進めると、 確認ポ...FW/NATセッションが原因の“謎の通信断”を見抜く方法
ネットワークは正常に見えるのに、 アプリ通信だけ突然切れる 再接続すると復旧する 時間が経つと直ることがある このような 「原因が分からない通信断」 に悩まされたことはないでしょうか。 この手の障害で非常に多いのが、 FW(Firewall)やNAT装置のセ...MACアドレステーブルのエージングを正しく理解する(通信断が自然復旧する理由)
ネットワーク構成変更後や配線変更後に、 「なぜか時間が経つと通信が直る」 という現象を経験したことはないでしょうか。 この原因として非常に多いのが、 スイッチのMACアドレステーブルのエージング です。 しかし、 MACアドレステーブルとは何か エー...ネットワーク構成変更後に「時間が経つと直る」通信障害の正体
ネットワーク構成変更後に、 「しばらく待つと自然に直る通信障害」 を経験したことはないでしょうか。 最初は通信できなかったが、30分後には正常 再起動せず放置しただけで直った 原因が分からず「たまたま直った」で終わった このタイプの障害は一見軽...DHCP設定変更後に特定端末だけ通信できない理由
DHCP設定を変更した直後から、 「なぜか一部の端末だけ通信できない」 という状況に陥ったことはないでしょうか。 新しくIPは取得できている 同じセグメントの他端末は問題ない 再起動すると直る端末と直らない端末がある このような事象は、DHCPの仕様と...
