UTMってもう、ネットワーク機器の主流の一つになってますよね。
最近は単純なFireWallを見つけるのが難しいくらい。
UTMで良く導入するのが Juniper NetworksのSSGシリーズ。
先日、このSSGを導入する案件があったんですが、ちょっと不可解な現象が発生したので、備忘録として経緯を残しておくことにします。

不可解な現象とはこんな内容。
SSGを導入したネットワーク環境で、Gatewayが二つあったとします。
で、Default GatewayがあるN/Wとは異なるN/Wにあるサーバへアクセスした場合
サーバへのアクセスが時折停止してしまうというもの。
例えば、default Gatewayが192.168.1.254/24とします。これがSSGのtrust側I/FのIP。
で、不具合が発生するサーバは、172.16.1.10/16のIPだとします。
172.16.1.10へのルーティングは 192.168.1.253を持つルーターが行っているとします。
問題の現象は 192.168.1.0/24のN/Wから 172.16.1.10/24へパケットを送ると、途中で
タイムアウトしてしまうという現象です。
不可解なところは、最初はパケットのやり取りには問題ないところで、ある程度時間が
経過すると、現象が発生します。

早速、調査を行いました。
パケットキャプチャをしてみましたが、ネットワークの疎通性に問題は確認できません。
どうも、N/W経路のどこかでパケットをDROPしてしまっているように見受けられます。
経路のルーター(192.168.1.253)はパケットフィルタを全く行っていませんので、怪しいのは必然的にUTMに絞られます。
対象をSSGに絞って、このような現象が無いか、ウェブを調査をしてみると、同じような現象が発生したという報告が。
SSGのデフォルト設定で、異なるGWへアクセスをした場合、SSGのセキュリティ機能である
tcp-syn-check が有効になっているとパケットをSSG側でDROPしてしまうことがあるとのこと。
(ackだけの非synパケットをDROPする）
ぬおおおーっと思いつつ、SSGのconfigを確認してみると、このチェックがしっかり有効に。
この設定は、SSGのWeb GUIからは変更ができないため、sshでログインして、以下のように設定を変更。
設定後、問題が終息しました。
もし、SSGを使用していて、同様の不具合が発生したら、本設定を確認してみて下さい。
解決できるかもしれません。