BGP外部アドレスポート1027はなぜですか?
BGPを使用してRouter1とRouter2を接続していますが、TCPの進行状況を表示すると:
Router1>show tcp brief TCB Local Address Foreign Address (state) 4E976890 10.0.0.1.179 10.0.0.2.1027 ESTABLISHED BGPはTCPポート179に基づいていると言います。Router2のBGPがポート1027にあるのはなぜですか?
回答
接続の一方の側には任意のポート番号があり、もう一方の側には179があります。
Cisco Press “BGPFundamentals”良い説明があります(リンク)
より高いIPアドレスを持つネイバーが管理します接続。要求を開始するルーターは動的な送信元ポートを使用しますが、宛先ポートは常に179です。
例1-1は、コマンド
show tcp briefを使用して、ルーター間のアクティブなTCPセッションを表示します。R1ではTCP送信元ポートが179、宛先ポートが59884であり、R2ではポートが反対になっていることに注意してください。
Example 1-1: Established BGP session RP/0/0/CPU0:R1# show tcp brief | exc "LISTEN|CLOSED" PCB VRF-ID Recv-Q Send-Q Local Address Foreign Address State 0x088bcbb8 0x60000000 0 0 10.1.12.1:179 10.1.12.2:59884 ESTAB R2# show tcp brief TCB Local Address Foreign Address (state) EF153B88 10.1.12.2. 59884 10.1.12.1.179 ESTAB これは、他のTCP接続とまったく同じです。パッシブオープン側は、既知のポート番号に座って待機します。アクティブなオープンサイドは任意のポートを使用します。これにより、多対多のTCPリンクの管理がはるかに簡単になります。
コメント
回答
TCP送信元ポートと宛先ポート。
別の例を挙げると、HTTPサーバーはTCPポート80でリッスンします。したがって、Webサーバーに接続するときは、宛先ポートとしてTCP / 80を自動的に使用します。ただし、送信元ポートは1024を超えるランダムなポートです。
BGPでもまったく同じことが起こります。クライアント(接続を開始するルーター)はTCP宛先ポート179に接続します。ただし、その送信元ポートは接続はランダムなハイポートになります。
回答
通常、BGP TCP 179ポートをBGPサービスとして使用します。クライアント接続BGPサービスポートに制限はありません。
SSHサーバーがポートとして22を使用する場合など、クライアントポートに制限はありません。
iptablesで何を保護したいですか?--dport 179)でのみフィルタリングし、接続追跡メカニズムに応答を処理させます(--state ESTABLISHED?)