UDP接続タイムアウトとはどういう意味ですか？

UDPはコネクションレスプロトコルであるため、Sonicwallファイアウォールの「UDP接続タイムアウト」の設定に混乱しています。デフォルトの30秒に設定されていますが、30秒後に何がタイムアウトしますか？

実際の実際の状況は次のとおりです。ntp.orgプールには、毎分約3000件のクエリを処理するNTPサーバーがあります。これにより、帯域幅の面ではなく、SOHOグレードTZ-200に少し負担がかかります。しかし、接続数という点では、通過します。UDP接続がSonicWall上でどうにか「生き続ける」のかどうか疑問に思っています。（定義上）コネクションレスであるにもかかわらず。

ここで何が欠けていますか？SonicWallが「UDP接続タイムアウト」について話すとき、それは何を意味しますか？

UDPとの正式な「接続」はありませんが、クライアントはリクエストを送信し、Destinatoin IPとポートと交換されたソースIPとポートで応答を返すことを期待するという慣習がまだあります。

したがって、ステートフルファイアウォールとNATは、送信元IP /送信元ポート/送信先IP /送信先ポートの特定の組み合わせ、および対応する送信元と送信先の組み合わせとのパケットが「接続」の一部を形成すると想定します。これにより、「発信接続のみ」などのルールをUDPに適用し、逆変換を応答パケットに適用できます。

残念ながら、ファイアウォールまたはNATは、クライアントがサーバーとの通信を終了したことを知る方法がありません。そのため、状態追跡テーブルからエントリを削除する前にタイムアウトを待つ必要があります。それが設定しているタイムアウトです。

原則として、発信接続のステートフルアプローチを維持しながら、ポート転送にステートレスアプローチを使用するNATボックスを構築することは可能ですが、すべてにステートフルNATを使用する方が簡単です。これは、ベンダーが行っていることのように思えます。

残念ながら、これは、多数の小さなリクエストを処理するステートレスUDPサーバーにとっては残念です。ファイアウォールがサーバー自体よりもはるかに多くのリソースを消費する状況に陥ります。

ファイアウォールは、UDP接続用の接続テーブルを維持しています。たとえば、DNSクエリを送信すると、ファイアウォールはそのフローのエントリを作成し、DNS応答がネットワークに戻されるようにします。テーブル内のエントリは、30秒間アクティビティがないとタイムアウトします。

NTPサーバーはNAT（ファイアウォール）の背後にあります。UDPは、アプリケーションとOSの観点から、および途中のほとんどのネットワークアプライアンスにとってコネクションレスです。

ただし、NATファイアウォールの場合、UDPパケットが送信されるたびに記録するため、相手側からの応答はネットワーク内の同じコンピューターにリダイレクトされます。これらは、ファイアウォールによって「接続」と呼ばれます。

現在、理論上、NATは外部ポートがNTPの既知のポートになることを知っていますが、ファイアウォールはそれをサポートしていないようです。これがこのファイアウォールを介したUDPの唯一の用途である場合、接続タイムアウトをより小さな数に設定できます。または、アプリケーションポートごとに設定できる場合は、その特定のポートに対してより短い時間（1秒など）に設定できます。

IPv6はNATを必要としませんが、ファイアウォールはUDPに対してステートフルであるかのように見えます。