|
次のページ
前のページ
目次へ
3. それで、パケットフィルターって何ですか?パケットフィルターというのは、流れて行くパケットのヘッダー を読んで、そのパケットの運命を決めるソフトウェアです。 パケットを DROP(まるで受け取っていないかのように破棄)したり、 ACCEPT (パケットを通過させる)したり、設定によっては もっと複雑な処理をしたりします。 Linux において、パケットフィルタリングはカーネルに組み込まれて (カーネルモジュールとして、または直に組み込まれて)います。 パケットに対して多少の曲芸的なこともできますが、パケットのヘッダー を見てその運命を決定すると言う一般原則が常にあります。 3.1 なぜ、パケットフィルターが必要なのでしょう?コントロール。セキュリティ。監視。
3.2 Linux でパケットフィルターはどのようにやるの?Linux カーネルには 1.1系からパケットフィルタリングがありました。 第1世代は、1994年後期に Alan Cox により、BSD の ipfw を基礎にして 移植されました。Linux 2.0 では、Jos Vos を初めとする人達により拡張 され、カーネルのフィルタリングルールをコントロールするユーザ空間ツール `ipfwadm' が生まれました。1998年中期、Linux 2.2 では、私は Michael Neuling の援助を得てカーネルを全くどっさりと作り直し、 ユーザ空間ツール `ipchains' を導入しました。最終的に、1999年中期、 Linux 2.4 では、第4世代ツール `iptables' とカーネルの別の部分を 書き換えました。この HOWTO が集中して述べているのはこの iptables についてです。 netfilter という基盤を持ったカーネルが必要です ― Linux カーネル には追加機能(例えば iptables モジュール)を差し込むことができますが、 netfilter はこの一般的な枠組みの中に含まれています。これは、 カーネル 2.3.15 かそれ以降が必要で、カーネルコンフィギュレーション の CONFIG_NETFILTER に `Y' と答える必要があります。
iptablesiptables はカーネルのパケットフィルタリングテーブルにルールを挿入 したり削除したりします。これは、あなたが設定したものはリブートすると 失われることを意味しています。次回、Linux がブートしたとき設定を 回復させる確かな方法は ルールを永続させる を見てください。
ルールを永続させるあなたの現在のファイアーウォールの設定はカーネル中にあるだけなので、 リブートすると失われてしまいます。iptables-save と iptables-restore スクリプトを使えば、設定をファイルに保存しておき、その後、そのファイル から回復することができます。 別の方法は、ルールを設定するために必要なコマンドを初期化 スクリプト中に書くことです。万一コマンドの内の 1つが失敗したなら、 頭を絞ってやろうとしていることを確かめてください(普通、`/sbin/sulogin' を実行してシングルユーザモードで作業します)。 次のページ 前のページ 目次へ |
[ |