-
ECMP環境でFWを跨ぐと壊れる理由【非対称ルーティングが生むセッション破壊の正体】
ECMP(Equal Cost Multi Path)を導入した途端、 一部通信だけ失敗する 同じ宛先なのに成功したり失敗したりする pingは通るがTCPが不安定 FWログにdenyは出ていない このような現象が発生することがあります。 原因の多くは、 ECMPとステートフルFWの相性... -
FWセッションタイムアウトが引き起こす断続的通信断の正体【なぜ“時間が経つと切れる”のか】
通信は最初は正常。 しかし、 数分後に突然切れる 一定時間操作しないと接続が落ちる 再接続すれば直る サーバにもエラーは出ていない このような断続的通信断は、 FWセッションタイムアウト が原因であることが非常に多いです。 本記事では、 セッション... -
FWを跨ぐ通信で片方向だけ通る原因【なぜ“戻り通信”が消えるのか】
FWを経由する通信で、 「片方向だけ通る」 という現象は現場で非常に多く発生します。 送信はできるが戻りが来ない SYNは届くがACKが返らない pingは通るのに業務通信だけ失敗する denyログは出ていない この問題は、設定ミスというより構造理解の不足が原... -
3way handshakeで止まる時の完全診断ガイド【SYN/SYN-ACK/ACKのどこで詰まるかを見抜く】
TCP通信ができないとき、 ほとんどの原因は3way handshakeのどこかで止まっています。 しかし現場では、 「FWは開いているはず」 「pingは通る」 「ポートはLISTENしている」 という状態で原因特定に時間がかかります。 本記事では、 3way handshakeの各段... -
pingは通るのにTCP通信できない理由【原因の見抜き方と完全切り分け手順】
pingは成功する。 しかしSSHもHTTPも接続できない。 この状態は、 「ネットワークは正常」とは言えません。 pingはICMP(制御用プロトコル)、 TCPはセッション型通信です。 動作条件がまったく違います。 本記事では、 なぜpingは通るのか TCPが失敗する... -
ARPが正しいのに通信できない時に疑うべきポイント【L2正常でも止まる理由】
arp -a で確認するとMACアドレスは正しい。 スイッチのMACテーブルも正常。 それなのに通信できない。 この状態は、 ARPが原因ではありません。 本記事では、 ARPが正常なことをどう確認するか L2が成立しているのに止まる代表パターン どこまで到達してい... -
CDN+LB+nginx構成でIP制御を安全に行う方法【X-Forwarded-For設計の正解】
CDN+ロードバランサ+nginx構成でIP制限を実装する場合、 正しく設計しないとIP制限は簡単に突破されます。 よくある誤解: X-Forwarded-Forを見ればクライアントIPが分かる real_ip_recursiveをonにすれば安全 CDN配下ならIP偽装はできない すべて不十分... -
real_ip_recursiveを誤解すると起きる事故(IP偽装を招く設定ミスの正体)
nginxでX-Forwarded-Forを扱う際、多くの現場で見落とされているのが real_ip_recursive の正しい理解 です。 「とりあえずonにする」「サンプル通り設定する」 この状態で本番運用すると、 IP制限が突破される重大事故 が起きます。 本記事では、 real_ip... -
real_ip_header / set_real_ip_from の正しい設計(X-Forwarded-Forを安全に扱う方法)
ロードバランサ(LB)やプロキシ配下でnginxを使う場合、 real_ip_header / set_real_ip_from の設計を誤ると、IP制限が簡単に突破されます。 にもかかわらず、 とりあえずX-Forwarded-Forを使う サンプル設定をそのまま流用する といった導入が非常に多い... -
X-Forwarded-Forを信頼してはいけないケース(誤判定・事故を防ぐ判断基準)
ロードバランサ(LB)配下のHTTP/HTTPS構成で、 「クライアントIPはX-Forwarded-Forを見ればいい」 と説明されることは非常に多いです。 しかし実務では、 IP制限がすり抜ける ログのIPが信用できない 攻撃元を誤認する といった事故が、X-Forwarded-For(...
