IP フィルタのパケット処理
IP フィルタは、パケットが処理されるときに一連の手順を実行します。次の図は、パケット処理の段階と、フィルタが TCP/IP プロトコルスタックとどのように統合されるかを示しています。
図 4-1 パケット処理の順序
ネットワークアドレス変換 (NAT)
プライベート IP アドレスを異なる公開アドレスに変換するか、複数のプライベートアドレスの別名として単一の公開アドレスを使用します。NAT を使用すると、組織に既存のネットワークがあり、インターネットにアクセスする必要がある場合に、IP アドレスが枯渇する問題を解決できます。
IP アカウンティング
入力と出力の規則を個別に設定し、通過するバイト数を記録できます。規則に一致する数に達するたびに、パケットのバイト数を規則に追加し、段階的な統計を収集できます。
フラグメントキャッシュチェック
デフォルトで、断片化されたパケットはキャッシュされます。特定のパケットのすべてのフラグメントが到着すると、フィルタリング規則が適用され、フラグメントが許可されるか、ブロックされます。規則ファイルに set defrag off が表示されている場合、フラグメントはキャッシュされません。
パケットの状態チェック
規則に keep state が含まれている場合、指定されたセッション内のすべてのパケットは、規則で pass または block のどちらが指定されているかに応じて自動的に通されるかブロックされます。
ファイアウォールチェック
入力と出力の規則は個別に設定が可能で、パケットが IP フィルタを通過してカーネルの TCP/IP ルーチン内に受信したり、またはネットワーク上に送信されることを許可するかどうかを決定できます。
グループ
グループを使用すると、ツリー形式で規則セットを作成できます。
機能
機能とは、実行されるアクションです。block、 pass、literal、および send ICMP response などの機能を実行できます。
高速経路制御
高速ルートは、パケットをルーティングのための UNIX IP スタックに渡さないように IP Filter に指示し、TTL の減少を防ぎます。
IP 認証
認証されたパケットが、ファイアウォールループを 1 回だけ通過するようにして、重複した処理を防止します。
パケット処理には次の手順が含まれます。