- - PR -
Linuxでのファイアーウォールについて
1
| 投票結果総投票数:39 | |||
|---|---|---|---|
| iptables |  |
36票 | 92.31% |
| ipchains | |
2票 | 5.13% |
| その他 | |
1票 | 2.56% |
| |||
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-03-19 15:39
水沼といいます。
Linuxのファイアーウォールの設定で、iptablesとipchainsが有名と思いますが、一般的にどちらの方が普及していて、どちらの方が便利だったり、容易に設定が可能でしょうか? 色々なご意見をお願いします。 | ||||||||
|
投稿日時: 2004-03-19 15:59
ども、がるです。
んとちょっとだけ突っ込みを。 ファイアーウォールってのは結構「広い」概念です。 お話は基本的には ・パケットフィルタリング になると思うのですが(NAPTもあるよねぇ、って突っ込みはなしで)。 割と前々から気になっていたのですが、ファイアーウォールの 言葉の意味合いをきちんとしておきたいなぁと気にしていた ので、ちょいと一言。 http://www.oreilly.co.jp/BOOK/firewall2v2/ にありますが、O'REILLYのファイアウォール構築を一読する ことを、この文を読んでいる全ての方に勧めてみたいなぁ とか思いつつ、一筆。 ちなみに2.4系以降であれば、私はiptablesを使いますねぇ。 昔はchains使ってましたが…そろそろ記憶が薄れてきてます(笑 | ||||||||
|
投稿日時: 2004-03-19 16:52
こんにちわ.
ip_conntrack で「接続追跡(connection tracking)に対応」でステートフル・インスペクションとも取れますが,かつて「単なる packet filter と stateful inspection は違うからね〜」と遠い昔に先輩から言われた覚えがあったりします. ちなみに,stateful inspection と dynamic packet filtering って別物なのでしょうか? http://www.cert.org/security-improvement/practices/p053.html とか見ると,「似たようなもの」と見えます.ま,「Linux の IP masquarade は NAT じゃなくて NAPT」という程度の違いなのかなと...個人としては,「守れればいいじゃない」って想いがあったりしますが.
つまり,「個体防御」と「集団防御」での用いられ方の違いのことでしょうか?どなたか商業利用で「gateway 付近で Netfilter バリバリ使ってます」というツワモノの方,おられますか? 自分は過去の遺産で wireless LAN の入り口を ipchains で締めてますが,単に iptables に移行するのが「面倒」なだけのモノグサです.珍しいところでは,隣のバリバリ unixer が「個人 LAN」と会社 LAN の境界で未だに FWTK 使っていたりします.彼はかつて Gauntlet を使った Firewall 構築で名を馳せていたので. 最近よく見かける「透過モード」を Netfilter で実現させている方っておられます?差し支えない程度に「設定内容」見せて欲しかったりします.実用性にとても興味があるもので... | ||||||||
|
投稿日時: 2004-03-20 23:32
山本と申します。
stateful(ステートフル)のパケットフィルタリングとしては、 Netfilter(iptables)が主流ではないでしょうか。 dynamic packet filteringのひとつの解としてstateful packet filtering があると考えます。 | ||||||||
|
投稿日時: 2004-03-21 01:27
こんばんは〜。
タイトルと投票項目から 1票入れてみたのですが、内容を見てみたらなかなか濃いスレ だったので、私も混ぜてもらおうかと(笑)。 今回のテーマ的には、がるがるさんのおっしゃるように、かなり広範囲をカバーするものだと思っています。 @IT さんのフォーラムでいえば、Master of IP Network や Security & Trust とも関連してきますねぇ…(ネットワーク構成やらポリシーやら)。 iptables か ipchains がファイアウォールの全てだ、と誤解されてないとは信じていますが(苦笑)、それらで何ができ(守れ)て、何ができない(守れない)のかは、知っておく必要があると思います。 で、本題の iptables と ipchains のどちらを使うかについてですが、Linux であれば今は iptables が主流でしょう。 こちらを一通りご覧になってみてください。 (JF は大変有名です。是非ご活用を!) http://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO.html あとは、試しにググってみたらこういう投稿もありました。ご参考までに。 http://search.luky.org/linux-users.8/msg07480.html (雑談ですが、「”サマリーを残す” という文化が廃れてしまった」 と嘆いている 先輩がいました。確かに、私もあまり見かけませんね…) stateful inspection と dynamic packet filtering については、大雑把に ”一緒” だという認識で私もいますが、山本さんのご意見がごもっともだと思われます。 (dynamic packet filtering の方が広意義な気がしますね) packet filter と stateful inspection の違いについては、この辺りが妥当な説明だと思っています。 http://e-words.jp/a/stateful20inspection.html | ||||||||
|
投稿日時: 2004-03-22 16:52
どもも、がるです。ちょっとだけ。
F/Wは ・マシン単体を基準にしたF/W のほかに ・ネットワーク全体設計に立脚したF/W ってのもあります。前述の本に「犠牲マシン」ってのが 載っておりまして、なかなかに面白い概念です。 結局F/Wは「危険なものを水際で止める」ためのもので。 実際に「どのように」食い止めるかは色々な手法があるです。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。