ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: IP サービス Oracle Solaris 11 Information Library (日本語) |
13. DHCP コマンドと DHCP ファイル (リファレンス)
16. IP セキュリティーアーキテクチャー (リファレンス)
20. Oracle Solaris の IP フィルタ (概要)
IP フィルタは、パケットが処理されるときに一連の手順を実行します。次の図は、パケット処理の段階と、フィルタが TCP/IP プロトコルスタックとどのように統合されるかを示しています。
図 20-1 パケット処理の順序
パケット処理には次の手順が含まれます。
ネットワークアドレス変換 (NAT)
プライベート IP アドレスを異なる公開アドレスに変換するか、複数のプライベートアドレスの別名として単一の公開アドレスを使用します。NAT を使用すると、組織に既存のネットワークがあり、インターネットにアクセスする必要がある場合に、IP アドレスが枯渇する問題を解決できます。
IP アカウンティング
入力と出力の規則を個別に設定し、通過するバイト数を記録できます。規則に一致する数に達するたびに、パケットのバイト数を規則に追加し、段階的な統計を収集できます。
フラグメントキャッシュチェック
現在のトラフィック内の次のパケットがフラグメントの場合、前のパケットが許可されると、状態テーブルと規則のチェックが迂回され、そのフラグメントも許可されます。
パケットの状態チェック
規則に keep state が含まれている場合、指定されたセッション内のすべてのパケットは、規則で pass または block のどちらが指定されているかに応じて自動的に通されるかブロックされます。
ファイアウォールチェック
入力と出力の規則は個別に設定が可能で、パケットが IP フィルタを通過してカーネルの TCP/IP ルーチン内に受信したり、またはネットワーク上に送信されることを許可するかどうかを決定できます。
グループ
グループを使用すると、ツリー形式で規則セットを作成できます。
機能
機能とは、実行されるアクションです。block、 pass、literal、および send ICMP response などの機能を実行できます。
高速経路制御
高速ルートは、パケットを経路制御のための UNIX IP スタックに渡さないように IP Filter に指示し、TTL の減少を防ぎます。
IP 認証
認証されたパケットが、ファイアウォールループを 1 回だけ通過するようにして、重複した処理を防止します。