パケット・フィルタリング・ファイアウォールについて

ファイアウォールは、そのパケット・ヘッダー情報に基づいて、受信および送信ネットワーク・パケットをフィルタ処理します。パケットを受け入れるか拒否するかを決定するパケット・フィルタ・ルールを作成できます。ポートをブロックするルールを作成した場合、そのポートに対するリクエストはすべてファイアウォールで自動的にブロックされ、リクエストは無視されます。ブロックされたポートで待機しているサービスは、そのポートから新しいパケットを受信しないため、ネットワーク・トラフィックを処理しなくなります。

ルールを使用してネットワーク・パッケージを受け入れるか、削除するか、転送するかを決定するパケットフィルタリング・ファイアウォールとして機能するように、Netfilter機能を構成できます。また、Netfilterでは、ルーティングされたパケットのIPヘッダー情報を変更するために、ネットワーク・アドレス変換(NAT)およびIPマスカレードが提供されます。ルールベースのパケット・ロギングを設定し、/etc/syslog.confを変更して専用ログ・ファイルを定義することもできます。

nftablesフレームワークは、Oracle Linuxでのデフォルトのステートフルなネットワーク・パケット・フィルタリング・フレームワークであり、iptablesフレームワークと置き換えられています。nftablesフレームワークは、iptablesフレームワークよりもパフォーマンスが向上します。nftablesフレームワークは、ネットワーク・スタックへの既存のフック、接続トラッキング・システム、ユーザー領域キューイング・コンポーネントおよびロギング・サブシステムなど、Netfilterインフラストラクチャのコンポーネントを利用します。また、nftablesでは、パケットを分類することもできます。

詳細は、『Oracle Linux 9 ファイアウォールの構成』を参照してください。