YAMAHAのNATについて

ちょっと特殊なYAMAHA機器のNATのしくみについて。
 
 

※ NAT descriptor
   type = masquerade を選択
 
※ ipsec
  1、udp500で鍵交換
     リモート接続の場合、リモートからudp500で受付。こちらからはリモートのudp任意ポートへ送る。
  2、AH(51)、ESP(50)
 
 
 
☆動的フィルタ(あくまで通過させるためのもの)
 ip filter dynamic # 【src】【dst】【プロトコル】
            
   src,dst ・・・ anyにしたいなら * 使う
   プロトコル ・・・ tftp,ftp,domain(DNS),pop3,smtp,
             telnet ,www,netmeetingt等が使用可能
             またはtcp,udp
            (ident,SSHはこの構文では定義不可 ※1)
 
 
☆静的フィルタ
 ip filter # 【pass/reject/restrict】【src】【dst】【プロトコル】【srcポート】【dstポート】
 
   restrict ・・・ 回線が接続されていれば通し、切断されていれば破棄
   プロトコル ・・・ icmp,icmmp-error,icmp-info,
             tcp,tcp_fin,tcp_rst,establish,
             udp, ipv6, gre,esp,ah
      
             フラグ(tcpflagの値とmaskの値の
             論理和ANDがvalueに一致)
             を使う方法もあり。
              たとえば、tcpflag=0X0002/0X0017
              これは以下の4つに対応
              SYN
              PSH-SYN
               (push。バッファに溜めずすぐに上位へ)
              URG-SYN
              URG-PSH-SYN
  

 ※1 ident
     = identification protocol
     クライアントとサーバ間の接続の所有権を識別する
     (接続をサーバ側からし直す際に利用。
      「今セッション張ってきたのはどなた?」)

      sendmailなどのプログラムによっては
      TCPコネクションが張られた時に、発信元のホストに
      Auth/IDNET(TCP/113 RFC1413)というプロトコルを使い
      クライアントが誰かの識別をする。
 
 
  
 
★フィルタの方向定め
ip【I/F】secure filter【in/out】 #

   # ・・・ 静的フィルタや動的フィルタの識別番号
         ただ、動的フィルタを入れた場合、
         in/outどちらかの方向へドアが開くという定義のみになる
         そのため暗黙のDENYに相当する静的フィルタも必要

 
★組み立て順序
 
 0.トリガーの静的フィルタ
   (動的フィルタは最初から存在できず、
    トリガーの静的フィルタでコネクションが現れた時に動的に作られるので、
    最初のパケットだけは静的フィルタが適用される)

 1.動的フィルタの内容で通過
   (静的より動的は優先して動く)

 2.静的フィルタによって残りを破棄  
  
   
★showコマンド
  sh status bri //接続相手
  sh status pp //接続中または最後の接続時