IPsec ポリシーコマンド

ipsecconf(1M) コマンドを使用して、ホストの IPsec ポリシーを構成します。 このコマンドを実行してポリシーを構成すると、IPsec ポリシーエントリを保存する ipsecpolicy.conf という名前の一時ファイルが作成されます。そのファイルを使用して、すべての外方向および内方向の IP データグラムがポリシーに沿っているかが検査されます。転送されたデータグラムは、このコマンドで追加されたポリシー検査の対象外になります。転送されたパケットを保護する方法については、ifconfig(1M) と tun(7M) のマニュアルページを参照してください。

ipsecconf コマンドは、スーパーユーザーとして実行する必要があります。このコマンドは、両方向のトラフィックを保護するエントリ、および 1 方向のみのトラフィックを保護するエントリを受け入れます。

方向を指定しないポリシーエントリに laddr host1 (ローカルアドレス) と raddr host2 (リモートアドレス) というパターンが含まれていると、指定されたホストに対して両方向のトラフィックが保護されます。そのため、各ホストにエントリを 1 つだけ設定すれば済みます。saddr host1 daddr host2 (ソースアドレスから宛先アドレスへ) というパターンのポリシーエントリは、1 方向のみのトラフィックを保護します。つまり、外方向または内方向のどちらかです。したがって、両方向のトラフィックを保護するには、saddr host2 daddr host1 とという先ほどとは逆方向のエントリを ipsecconf コマンドに渡す必要があります。

引数を指定しないで ipsecconf コマンドを実行すると、システムに構成されているポリシーを確認できます。各エントリが、インデックスとその後に番号が付いて表示されます。-d オプションでインデックスを指定すると、システム内の指定されたポリシーが削除されます。このコマンドで表示されるエントリの順序はエントリが追加された順であり、必ずしもトラフィックを照合する順序ではありません。トラフィックの照合が行われる順序を確認するには、-l オプションを使用します。

ipsecpolicy.conf ファイルは、システムのシャットダウン時に削除されます。マシンのブート時に IPsec ポリシーを起動させるには、マシンのブート時に inetinit スクリプトによって読み込まれる IPsec ポリシーファイル /etc/inet/ipsecinit.conf を作成する必要があります。