TCPコネクションを確立するところで、PCセグメント側からサーバセグメント（IPA回答ではC→A）にSYNパケットが流れるのは理解できるのですが、その折り返しであるSYN-ACKパケットがサーバ管理セグメント側（IPA回答ではA→B）に流れる理由がわかりませんでした。どなたか解説いただけないでしょうか

SC初受験さん、こんにちは。

図３「W氏が推測したサーバへの不正侵入手順（抜粋）」の8.には、「AさんのPC上で管理用PCのIPアドレスを詐称して、（後略）」とあります。

つまり、SYNパケットの経路は、AさんのPCの存在するPCセグメントからサーバの存在するサーバセグメント「（C）→（A）」となり、戻りのSYN-ACKパケットの経路は、サーバの存在するサーバセグメントから詐称された管理用PCのIPアドレスの存在するサーバ管理セグメント「（A）→（B）」に流れることになります。

個人的には、このFWはそれほど優秀じゃないなと感じますが（笑）
PCセグメントの存在するインターフェースからサーバ管理セグメントのIPアドレスを送信元とするSYNパケットが流れた時点で、拒否して欲しいところです(;^_^A

犬さん。解説ありがとうございます

うまく説明できているか不安ですが、自分なりにまとめてみました。
このような感じでよろしいですか？

①PCセグメント側で管理用PCと同じIPアドレスに詐称してTCPコネクションを確立しようとした（SYNパケット）※C→Aの部分

②FWは「詐称してあるIPアドレスは本来は管理用PCのIPアドレスである」ことをフィルタリングルールを通じて理解しているため、SYN－ACKパケットがサーバ管理セグメント側へ流れる  
※A→Bの部分
ちなみに②のフィルタリングルールは表５の項番４のルール

SC初受験さん、ご返信ありがとうございます。

凡そその理解で大丈夫だと思います。

>②FWは「詐称してあるIPアドレスは本来は管理用PCのIPアドレスである」ことを
>フィルタリングルールを通じて理解しているため、SYN－ACKパケットがサーバ管理
>セグメント側へ流れる

強いて言うと、サーバからの戻りの通信に関して、「宛先IPアドレス」が
詐称している管理用PCのIPアドレスになります。
受け取ったFWは、フィルタリングルールを通じて…ではなく、ルーティング
テーブルを元にパケットをサーバ管理セグメント側に流す…が正しいかなと
思っています。

セキュリティの問題というよりは、ネットワークの問題だと考えています。