スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

パケットフィルタリング(IPフィルタリング)(1)

IPフィルタリングの用語と表現

*Accept (許可) - パケットを受け入れ (accept) て、ファイアウォール・ルールを通過させること。 drop, reject ターゲットの反対。

*Drop(破棄) - パケットが削除された後、何のアクションも行わない。パケットが破棄された旨をホストにも伝えない。ただパケットが消滅するだけ。

*Reject (拒絶) - 基本的には drop ターゲット (ポリシー) と同じだが、パケットが破棄されたという事実を送信者に返答する。

*State (ステート) - ひとつのストリーム(バイト列の流れ)の中における、パケットの状態 (state)。
具体的に言えば、ファイアウォールが初めて観測した (知った) パケットは NEW というステートに識別され (TCPコネクションのSYNパケット)、また、ファイアウォールが既に認知している確立済みのコネクションに属しているパケットならば ESTABLISHED と判定される。ステートは、セッションを常に監視しているコネクション追跡機構 によって判断される。

*Chain (チェイン) - ルールの集合体 (ルールセット) から成り、パケットがチェインの中を進んでいく時にそれらのルールが適用される。それぞれのチェインには特有の役割 (例えばそのチェインがどのテーブルに属しているかによって、チェインにできることできないことが決まる) や、適用範囲 (例えば foward されたパケットにのみ適用するとか、自ホスト宛てのパケットだけに適用するなど) がある。

*Table (テーブル) - 各テーブルには別個の使用目的があり、 iptables には 4つのテーブルがある。 raw, nat, mangle, filter テーブルだ。例えば filter テーブルはパケットをフィルタリングするためにできており、 nat テーブルはパケットに NAT (Network Address Translation = ネットワークアドレス変換) を施すために設計されている。

*Match (マッチ) - IPフィルタリングでは、2通りの意味がある。
ひとつは、或るルールの中の単一の一致条件を指す場合。そのマッチは、ヘッダがこれこれの情報を持っていなければならないということをルールに指示する。例えば --source マッチは送信元アドレスが或る特定のネットワーク範囲やホストアドレスでなければならないということを指示する。
もうひとつは、ひとつのルールを丸ごと 1 個のマッチと捉える場合。そのルールに指定してある全ての条件にマッチしたら、ジャンプ (ターゲット) に指定してある動作 (パケットの破棄など) が実行される。

*Target (ターゲット) - ルールセットの中の各ルールには大抵、ひとつのターゲット・セットがある。ルールの持つ条件が全て満たされたらパケットに何を行うかを指示するのがターゲット。
drop する、 accept する、 NAT を掛けるなどといった処置だ。

*Rule (ルール) - ほとんど全ての IPフィルタ一般、そして iptables でも、ルールとは、ひとつのターゲットを従えた 1 項目または数項目の一致条件 (match) の集まりを指す。ひとつのルールが複数のターゲット (アクション) を持てるように実装した IPフィルタもある。

*Ruleset (ルールセット) - ルールセットとは、幾つものルールから成るルールの総体のことで、 IPフィルタはこの "ルールセット" をロードして動く。
iptables の場合なら、ルールセットは、 filter, nat, raw, mangle の各テーブルとその下位にある全チェーンに組み込まれた、全てのルールを含有する。通常、ルールセットは設定ファイルの類に書き連ねる。

*Jump (ジャンプ) - ジャンプ命令はターゲットと密接な関係にある。
iptables においては、ジャンプ命令はターゲットと全く同じ書き方となるが、唯一異なるのが、ターゲット名ではなく別のチェーンの名前を指定するという点だ。つまり、ルールの条件に一致したら、パケットは指定した副チェーンへと送られ、通常と同じようにそこで処理される。

*Connection tracking (コネクション追跡) - 簡潔に言うと、コネクション追跡を備えたファイアウォールはコネクション/ストリームを追跡することができる。これを行うには大抵、プロセッサとメモリに大きな負荷がかかる。だが、ファイアウォールポリシーの構築者がそれを適切に使えば、この機能を持つファイアウォールは持たないものよりも遙かに高いセキュリティを獲得できる。

*Policy (ポリシー) -チェインのポリシー。これは、どのルールにもマッチしなかったパケットを処すデフォルトのアクションをファイアウォールに指示する。
スポンサーサイト

テーマ : UNIX/Linux
ジャンル : コンピュータ

tag : LINUX セキュリティ ファイアウォール iptables

コメントの投稿

非公開コメント

スカウター
プロフィール

Author:うにえる
個人的メモ

検索フォーム
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。