1 パケット・フィルタリング・ファイアウォールについて
- パケット・ヘッダー情報に基づいて、受信および送信ネットワーク・パケットをフィルタリング
- ネットワーク・アドレス変換(NAT)などのリダイレクト・パケット
- パケットのミラー化を実行
- 深いパケットの点検、
- ルールに基づいて受け入れられたパケットまたは拒否されたパケット。
Oracle Linuxカーネルは、Netfilter機能を使用して、IPv4、IPv6、inet、arp、bridgeおよびnetdevにパケット・フィルタリング機能を提供します。
Netfilterは、次のコンポーネントで構成されます:
-
netfilterカーネル・コンポーネント。カーネルがネットワーク・パケット・フィルタリングの制御に使用するルールのための、メモリー内の一連のテーブルで構成されます。 -
netfilterに格納される、ルールを作成、保守、および表示するためのユーティリティ。 Oracle Linux 8では、デフォルトのファイアウォール・ユーティリティはfirewalldパッケージで提供されるfirewall-cmdです。 -
nftablesフレームワークは、Oracle Linuxのfirewalldで使用されるデフォルトのネットワーク・パケット・フィルタリング・フレームワークです。nftablesは、firewalldのバックエンドとして機能し、netfilterと統合します。nftablesフレームワークには、パケット分類機能、利便性の向上およびパフォーマンスの向上が含まれます。
firewalldベースのファイアウォールには次の利点があります。
-
firewalld-cmdユーティリティは、ファイアウォールを再起動せず、確立されたTCP接続を中断しません。
-
firewalldはダイナミック・ゾーンをサポートしており、異なる信頼レベルでネットワークに接続できるラップトップなど、システムに対して異なるファイアウォール・ルール・セットを実装できます。 ただし、この機能は通常、サーバー・システムでは使用されません。 -
firewalldは、ファイアウォール構成に応じて複数のサービスとの統合をより適切にできるD-Busをサポートしています。 -
firewalldは、最も基本的なユースケースをカバーしています
firewalldを使用するかわりに、nftablesを直接作成および構成することを検討してください。 たとえば、次のようなシナリオに対してnftablesを直接構成することを検討します:
netfilterに対する直接制御が必要な時、- 高いパフォーマンスが必要な時、
- 複雑なルールを使つ時、
- 特定のネットワーク要件または高度なネットワーク要件に対応する時。
nftablesを直接構成および使用する前に、firewalldサービスを無効にして、各サービスが相互に作用する状況を回避します。