JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
マニュアルページセクション 5: 標準、環境、マクロ     Oracle Solaris 11 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

紹介

標準、環境、マクロ

acl(5)

ad(5)

advance(5)

adv_cap_1000fdx(5)

adv_cap_1000hdx(5)

adv_cap_100fdx(5)

adv_cap_100hdx(5)

adv_cap_10fdx(5)

adv_cap_10hdx(5)

adv_cap_asym_pause(5)

adv_cap_autoneg(5)

adv_cap_pause(5)

adv_rem_fault(5)

ANSI(5)

architecture(5)

ascii(5)

attributes(5)

audit_binfile(5)

audit_flags(5)

audit_remote(5)

audit_syslog(5)

availability(5)

brands(5)

C++(5)

C(5)

cancellation(5)

cap_1000fdx(5)

cap_1000hdx(5)

cap_100fdx(5)

cap_100hdx(5)

cap_10fdx(5)

cap_10hdx(5)

cap_asym_pause(5)

cap_autoneg(5)

cap_pause(5)

cap_rem_fault(5)

charmap(5)

compile(5)

condition(5)

crypt_bsdbf(5)

crypt_bsdmd5(5)

crypt_sha256(5)

crypt_sha512(5)

crypt_sunmd5(5)

crypt_unix(5)

CSI(5)

device_clean(5)

dhcp(5)

dhcp_modules(5)

environ(5)

eqnchar(5)

extendedFILE(5)

extensions(5)

filesystem(5)

fmri(5)

fnmatch(5)

formats(5)

fsattr(5)

grub(5)

gss_auth_rules(5)

hal(5)

iconv_1250(5)

iconv_1251(5)

iconv(5)

iconv_646(5)

iconv_852(5)

iconv_8859-1(5)

iconv_8859-2(5)

iconv_8859-5(5)

iconv_dhn(5)

iconv_koi8-r(5)

iconv_mac_cyr(5)

iconv_maz(5)

iconv_pc_cyr(5)

iconv_unicode(5)

ieee802.11(5)

ieee802.3(5)

ipfilter(5)

ipkg(5)

isalist(5)

ISO(5)

kerberos(5)

krb5_auth_rules(5)

krb5envvar(5)

KSSL(5)

kssl(5)

labels(5)

largefile(5)

ldap(5)

lf64(5)

lfcompile(5)

lfcompile64(5)

link_duplex(5)

link_rx_pause(5)

link_tx_pause(5)

link_up(5)

locale(5)

locale_alias(5)

lp_cap_1000fdx(5)

lp_cap_1000hdx(5)

lp_cap_100fdx(5)

lp_cap_100hdx(5)

lp_cap_10fdx(5)

lp_cap_10hdx(5)

lp_cap_asym_pause(5)

lp_cap_autoneg(5)

lp_cap_pause(5)

lp_rem_fault(5)

man(5)

mansun(5)

me(5)

mech_spnego(5)

mm(5)

ms(5)

MT-Level(5)

mutex(5)

MWAC(5)

mwac(5)

nfssec(5)

NIS+(5)

NIS(5)

nis(5)

nwam(5)

openssl(5)

pam_allow(5)

pam_authtok_check(5)

pam_authtok_get(5)

pam_authtok_store(5)

pam_deny(5)

pam_dhkeys(5)

pam_dial_auth(5)

pam_krb5(5)

pam_krb5_migrate(5)

pam_ldap(5)

pam_list(5)

pam_passwd_auth(5)

pam_pkcs11(5)

pam_rhosts_auth(5)

pam_roles(5)

pam_sample(5)

pam_smbfs_login(5)

pam_smb_passwd(5)

pam_tsol_account(5)

pam_unix_account(5)

pam_unix_auth(5)

pam_unix_cred(5)

pam_unix_session(5)

pam_zfs_key(5)

pkcs11_kernel(5)

pkcs11_kms(5)

pkcs11_softtoken(5)

pkcs11_tpm(5)

POSIX.1(5)

POSIX.2(5)

POSIX(5)

privileges(5)

prof(5)

pthreads(5)

RBAC(5)

rbac(5)

regex(5)

regexp(5)

resource_controls(5)

sgml(5)

smf(5)

smf_bootstrap(5)

smf_method(5)

smf_restarter(5)

smf_security(5)

smf_template(5)

solaris10(5)

solaris(5)

solbook(5)

stability(5)

standard(5)

standards(5)

step(5)

sticky(5)

SUS(5)

SUSv2(5)

SUSv3(5)

SVID3(5)

SVID(5)

tecla(5)

teclarc(5)

term(5)

threads(5)

trusted_extensions(5)

vgrindefs(5)

wbem(5)

xcvr_addr(5)

xcvr_id(5)

xcvr_inuse(5)

XNS4(5)

XNS(5)

XNS5(5)

XPG3(5)

XPG4(5)

XPG4v2(5)

XPG(5)

zones(5)

ipfilter

- IP パケットフィルタ処理ソフトウェア

機能説明

IP フィルタは、Solaris システムにパケットフィルタ処理機能を提供するソフトウェアです。適切に設定されたシステムでは、ファイアウォールを構築するために使用できます。

Solaris IP フィルタは、Solaris オペレーティングシステムとともにインストールされます。ただし、パケットフィルタ処理はデフォルトでは有効になっていません。IP フィルタ機能を有効にしてアクティブ化する手順については、ipf(1M) を参照してください。

サービス

ipfilter SMF サービスは、startstoprestart、および refresh メソッドをサポートします。これらのメソッドは、svcadm(1M) を使用して呼び出されます。

start

ipfilter カーネルモジュールをロードし、構成に従ってファイアウォールまたは NAT 規則をアクティブにします。

stop

適用されたすべてのファイアウォールと NAT 規則、および作成されたアクティブなセッション情報をクリアします。ネットワーク接続が有効な状態でのサービスの停止は、ネットワークトラフィックがホストに入るリスクがない場合にのみ実行するようにしてください。

restart

ipfilter サービスの停止と開始を実行します。動作中のファイアウォールに対してこのメソッドを使用すると、トラフィックがファイアウォールに侵入したり、フィルタリングされずに通過することができる、危険にさらされやすい期間が生じることになります。

refresh

現在の構成をロードし、セキュリティーポリシーが両方ともアクティブに使用されない時間をまったく生じさせずに古い構成から新しい構成に切り替えます。

ホストベースのファイアウォール

IP フィルタ構成の管理を簡素化するためにファイアウォールフレームワークが作成され、ユーザーはシステムレベルとサービスレベルのファイアウォールポリシーを記述することによって IP フィルタを構成できます。ユーザーが定義したファイアウォールポリシーから、必要なシステム動作が得られるようにフレームワークによって一連の IP フィルタ規則が生成されます。ユーザーは、特定のホスト、サブネット、およびインタフェースからのネットワークトラフィックを許可または拒否するよう、システムおよびサービスのファイアウォールポリシーを指定します。これらのポリシーが一連のアクティブな IPF 規則に変換されることにより、指定されたファイアウォールポリシーが適用されます。

ユーザーはフレームワークを利用しないことを選択した場合でも、独自の ipf 規則ファイルを指定できます。カスタマイズされた規則を有効にする方法については、ipf(1M) を、ipf 規則の構文を見つけるには、ipf(4) を参照してください。

モデル

この節では、ホストベースのファイアウォールフレームワークについて説明します。ファイアウォールポリシーの構成方法の詳細については、svc.ipfd(1M) を参照してください。

ユーザーは、優先度の異なる 3 つのレイヤーを利用して、必要な動作を実現できます。

Global Default

Global Default - システム全体のデフォルトファイアウォールポリシー。このポリシーは、サービスで独自にファイアウォールポリシーが変更されている場合を除き、すべてのサービスによって自動的に継承されます。

Network Services

Global Default よりも優先されます。サービスのポリシーは、Global Default ポリシーにかかわらず、その特定のポートに対するトラフィックを許可または禁止します。

Global Override

もう一つのシステム全体のポリシーで、Network Services レイヤーの個々のサービスの要求よりも優先されます。

Global Override
      |
      |
Network Services
      |
      |
Global Default

ファイアウォールポリシーには、ファイアウォールモードと、必要に応じてネットワークソースを設定します。ネットワークソースとは、システムが着信トラフィックを受け取る可能性のある、発信元の IP アドレス、サブネット、およびローカルネットワークインタフェースです。基本的なファイアウォールモードは次のとおりです。

None

ファイアウォールなしで、すべての着信トラフィックを許可します。

Deny

すべての着信トラフィックを許可しますが、指定した発信元からの着信トラフィックは拒否します。

Allow

すべての着信トラフィックを拒否しますが、指定した発信元からの着信トラフィックは許可します。

レイヤーの詳細

最初のシステム全体のレイヤー Global Default では、任意の着信トラフィックに適用するファイアウォールポリシーを定義します。たとえば、ある IP アドレスからのトラフィックをすべて許可またはブロックするように指定します。これにより、すべての着信トラフィックをブロックする、または望まない発信元からの着信トラフィックをすべてブロックするポリシーを簡単に作成できます。

Network Services レイヤーには、telnetdsshdhttpd などのリモートクライアントにサービスを提供するローカルプログラムのためのファイアウォールポリシーが含まれています。このようなプログラム (ネットワークサービス) にはそれぞれ、サービスへのアクセスを制御する独自のファイアウォールポリシーがあります。最初は、サービスのポリシーは Global Default ポリシーを継承するように設定されています。つまり、「グローバルデフォルトを使用する」モードです。これにより、1 つのポリシーを Global Default レイヤーで設定し、それをすべてのサービスで簡単に継承することができます。

サービスのポリシーが Global Default ポリシーと異なっている場合は、サービスのポリシーが優先されます。あるサブネットからのトラフィックをすべてブロックするように Global Default ポリシーが設定されている場合でも、SSH サービスではそのサブネットの特定のホストからはアクセスを許可するように構成できます。Network Service レイヤーは、すべてのネットワークサービスに関するすべてのポリシーから成ります。

2 番目のシステム全体のレイヤー Global Override にも、任意の着信ネットワークトラフィックに適用されるファイアウォールポリシーが含まれています。このポリシーはもっとも優先度が高く、ほかのレイヤーのポリシーよりも優先されるため、個々のネットワークサービスの要求も上書きします。たとえば、サービスのポリシーにかかわらず、悪意のある既知の発信元をブロックする場合に適しています。

ユーザーとの対話

このフレームワークは IP フィルタ機能を活用するため、svc:/network/ipfilter が有効になっている場合だけアクティブになり、network/ipfilter が無効になっている場合はアクティブになりません。同様に、ネットワークサービスのファイアウォールポリシーは、サービスが有効になっている場合だけアクティブになり、サービスが無効になっている場合はアクティブになりません。ファイアウォールがアクティブになっているシステムには、実行中または有効になっている各ネットワークサービスの IP フィルタ規則が存在し、ファイアウォールモード None ではないシステム全体のポリシーが存在します。

ユーザーは、システム全体のポリシーと各ネットワークサービスのポリシーを設定することにより、ファイアウォールを構成します。ファイアウォールポリシーの構成方法については、svc.ipfd(1M) を参照してください。

ファイアウォールフレームワークは、ポリシーの構成と、そのポリシーから IP フィルタ規則を生成して適用することによって必要な IP フィルタ構成を実現するメカニズムから成ります。設計およびユーザーとの対話の要約は次のとおりです。

属性

属性についての詳細は、attributes(5) を参照してください。

属性タイプ
属性値
インタフェースの安定性
確実

関連項目

svcs(1), ipf(1M), ipnat(1M), svcadm(1M), svc.ipfd(1M), ipf(4), ipnat(4), attributes(5), smf(5)

『Oracle Solaris の管理: IP サービス』

注意事項

ipfilter サービスは、サービス管理機能 smf(5) により次のサービス識別子として管理されます。

svc:/network/ipfilter:default

有効化、無効化、または再起動要求など、このサービスに関する管理操作は、svcadm(1M) を使用して実行できます。サービスステータスを照会するには、svcs(1) コマンドを使用します。

IP フィルタの起動時構成ファイルは /etc/ipf に保存されます。

Copyright © 2011, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ