IPセキュリティーフィルター

IPセキュリティーの機能のひとつ。フィルタールールによってパケット通信を制限する。普通はFW(ファイアーウォール)の機器で制限することが多いが、OSでも同じようなことができる。
 
実は戻りの通信も許可しないとダメでしたとかがよくある。ケアレスミスが出やすい。
 
間違いがあると全ての通信が通らなくなるなどの、クリティカルな影響が出やすいので注意が必要。非常にシビア。できればあまりやりたくはない。FWにおまかせするのが無難。
 
【コマンド色々】
lsfilt -v 4 -a -O  ← IPv4のアクティブなルールを一覧表示
lsfilt -v 4 -a       ← IPv4のアクティブなルールを詳細表示
 
【smitty ショートカット】
smitty ipsec4 ←ここから機能ON・OFFや、ルールの追加・削除などができる
 
※大元のIPセキュリティー機能のON・OFFと、フィルタールールのON・OFFがあるので注意。IPセキュリティーがONになっていないとそもそもフィルタールールはONにできない。
 
※フィルタールールは上の方のルールが優先される。一番下に全拒否を入れて、上に許可する通信を入れていくとマッチするもの以外は全て拒否にできる。
 
【ロギング機能】
syslogdで記録できる。ファシリティーはlocal4を使用する。syslog.confに設定をすればログを取得できる。ただし大量のストレージを消費する恐れがある。
 
# syslog.confに以下を記述
local4.debug  /var/adm/ipsec.log
 
# ログファイルを作成(自動的には作成されない)
touch /var/adm/ipsec.log
 
# syslogdを再起動
refresh -s syslogd
 
# ロギングの開始
mkfilt -g start
 
# ロギングの停止
mkfilt -g stop

スポンサーリンク
勉強wikiの下部広告
  • このエントリーをはてなブックマークに追加
スポンサーリンク
勉強wikiの下部広告

コメントをどうぞ

メールアドレスが公開されることはありません。

CAPTCHA