パケット・フィルタリングのファイアウォールの構成
- 受信および送信ネットワーク・パケットは、パケット・ヘッダー情報に基づいてフィルタ処理します。
- ネットワークアドレス変換(NAT)などのパケットをリダイレクトします。
- パケットのミラー化を実行します。
- 詳細パケットの検査を実行します。
- ルールに基づく受入または拒否パケット。
Oracle LinuxカーネルはNetfilter機能を使用して、IPv4、IPv6、inet、arp、bridgeおよびnetdevにそれぞれパケット・フィルタリング機能を提供します。
Netfilterは、次のコンポーネントで構成されます。
-
netfilterカーネル・コンポーネント。カーネルがネットワーク・パケット・フィルタリングの制御に使用するルールのための、メモリー内の一連のテーブルで構成されます。 -
netfilterに格納される、ルールを作成、保守、および表示するためのユーティリティ。デフォルトのファイアウォール・ユーティリティは、firewalldパッケージで提供されるfirewall-cmdです。
デフォルトのパケットフィルタリングフレームワークは、リリースによって異なります。次のタブのリリース固有のガイダンスを使用します。
firewalldベースのファイアウォールには次の利点があります。
-
firewalld-cmdユーティリティは、ファイアウォールを再起動せず、確立されたTCP接続を中断しません。
-
firewalldはダイナミック・ゾーンをサポートしており、異なる信頼レベルでネットワークに接続できるラップトップなど、システムに対して異なるファイアウォール・ルール・セットを実装できます。ただし、この機能は通常、サーバー・システムでは使用されません。 -
firewalldは、ファイアウォール構成に応じて複数のサービスとの統合をより適切にできるD-Busをサポートしています。 -
firewalldは、ほとんどの基本的なユースケースをカバーしています
firewalldを使用するかわりに、nftablesを直接作成および構成することを検討してください。たとえば、次のようなシナリオに対してnftablesを直接構成することを検討してください。 netfilterを直接制御する必要がある場合、- 高性能が必要な場合、
- 複雑なルールを使用する場合、
- 特定のまたは高度なネットワーク要件に対処する場合。
nftablesを直接構成および使用する前に、firewalldサービスを無効にして、各サービスが相互に作用する状況を回避します。
Oracle Linux 8では、
firewalldはiptablesフレームワークをデフォルトのパケット・フィルタリング・バックエンドとして使用します。nftablesフレームワークは、firewalldのデフォルトのパケット・フィルタリング・バックエンドであり、以前のリリースで使用されていたiptablesフレームワークに代わるものです。nftablesは、netfilterと統合され、パケット分類機能、利便性の向上、およびiptablesよりもパフォーマンスが向上します。nftablesフレームワークは、firewalldのデフォルトのパケット・フィルタリング・バックエンドです。netfilterと統合され、パケット分類機能、利便性の向上およびパフォーマンスの向上が含まれます。