ルーターの「ALG」設定は何を意味し、「ALG」とは何ですか?

Question

ここでの「ALG」は「アプリケーション層ゲートウェイ」の略です。つまり、これらのプロトコルのいくつかの特殊性に対処するファイアウォールモジュールです。

ステートフルファイアウォールでは、「状態」は通常、アドレスとポート番号にのみ結び付けられます。つまり、ポートXからサーバーのポートYにパケットを送信すると、ファイアウォールは自動的に逆方向のパケットを許可します。ただし、一部のプロトコルでは、追加接続 – たとえば、FTPを「アクティブ」モードにすると、サーバーが接続し直しますに別のポートでアクセスする必要があります。そのため、ファイアウォールには、FTP コマンドをスヌープして必要なルールを自動的に追加する ALG モジュールが必要です。(これには、NAT 使用時の自動ポート転送が含まれます。)
NATが有効になっているファイアウォールは、対応するヘッダー内のIPアドレスとTCP/UDPポートを変換します。ただし、一部のプロトコルでは、クライアントまたはサーバーのアドレスも送信します。内部パケット自体 – たとえば、同じ FTP がこれを実行します (アクティブモードではクライアントが独自のアドレスを送信し、パッシブモードではサーバーが送信します)。ALG は、それらの FTP コマンドを適切に書き換えようとします。

通常、適切な ALG が存在しない場合に起こることは、特定の接続が途中でハングすることです。たとえば、FTP サーバーにログインできますが、ファイルリストを取得しようとしているときにタイムアウトになります。

(はい、暗号化を有効にすると、ALG は内部を見ることができないため、それらのほとんどは機能しなくなります。ALG は問題を隠すためのツールであると言えます。)

どれを無効にできるかは、使用するプロトコルと、特定のルーターの ALG の品質が許容範囲内であるかどうかによって異なります。(接続を「修復」するのではなく、完全に切断するモデルもあります...) たとえば、H.323 サポート (古い VoIP プロトコル) を無効にしても問題ありません。

Answer 1

ここでの「ALG」は「アプリケーション層ゲートウェイ」の略です。つまり、これらのプロトコルのいくつかの特殊性に対処するファイアウォールモジュールです。

ステートフルファイアウォールでは、「状態」は通常、アドレスとポート番号にのみ結び付けられます。つまり、ポートXからサーバーのポートYにパケットを送信すると、ファイアウォールは自動的に逆方向のパケットを許可します。ただし、一部のプロトコルでは、追加接続 – たとえば、FTPを「アクティブ」モードにすると、サーバーが接続し直しますに別のポートでアクセスする必要があります。そのため、ファイアウォールには、FTP コマンドをスヌープして必要なルールを自動的に追加する ALG モジュールが必要です。(これには、NAT 使用時の自動ポート転送が含まれます。)
NATが有効になっているファイアウォールは、対応するヘッダー内のIPアドレスとTCP/UDPポートを変換します。ただし、一部のプロトコルでは、クライアントまたはサーバーのアドレスも送信します。内部パケット自体 – たとえば、同じ FTP がこれを実行します (アクティブモードではクライアントが独自のアドレスを送信し、パッシブモードではサーバーが送信します)。ALG は、それらの FTP コマンドを適切に書き換えようとします。

通常、適切な ALG が存在しない場合に起こることは、特定の接続が途中でハングすることです。たとえば、FTP サーバーにログインできますが、ファイルリストを取得しようとしているときにタイムアウトになります。

(はい、暗号化を有効にすると、ALG は内部を見ることができないため、それらのほとんどは機能しなくなります。ALG は問題を隠すためのツールであると言えます。)

どれを無効にできるかは、使用するプロトコルと、特定のルーターの ALG の品質が許容範囲内であるかどうかによって異なります。(接続を「修復」するのではなく、完全に切断するモデルもあります...) たとえば、H.323 サポート (古い VoIP プロトコル) を無効にしても問題ありません。

関連情報