ipfwadm-2.3.0のインストールと運用

"ipfwadm"はlinuxの2.0系カーネルのIPmasquerade機能を制御するためのソフトです。
IPmasqueradeはkernelレベルでproxy機能を実現するものです。設定によってfirewallの機能を持たせることができます。

注意1: 2.2系カーネルではipchainsを使います。

注意2:
ipfwadmを使うには、IPmasqueradeに対応したkernelが必要です。もしもkernelがIPmasqueradeに対応していない場合にはkernelの再コンパイルが必要となります。

再コンパイル時のコンフィギュレーションにおいて、少なくとも以下の項目が"yes"となっている必要があります：
CONFIG_FIREWALL=y
CONFIG_INET=y
CONFIG_IP_FORWARD=y
CONFIG_IP_FIREWALL=y
CONFIG_IP_MASQUERADE=y

2.1 ソフトの入手

"ipfwadm-2.3.0"を入手します。以下のサイトから入手できます：

http://xos.nl/linux/ipfwadm

2.2 インストール

ファイルを展開するディレクトリ$Workに移動して、バイナリパッケージを展開します。作業ディレクトリ$Workは任意のディレクトリです。

% cd $Work/
% gzip -cd ipfwadm-2.3.0.tgz | tar xvf -

次にディレクトリを移動して、"make ipfwadm"と"make install"を行ないます。

% cd $Work/ipfwadm-2.3.0
% make ipfwadm
% make install

以上でipfwadmのインストールが終りました。

2.3 運用

システム起動時にIPmasqueradeの設定を行なうように、/etc/rc.d/rc.inet2にipfwadmコマンドを追加しておきます。

記述規則は以下の通りです。

ipfwadm -A command parameters [option]
ipfwadm -F command parameters [option]
ipfwadm -I command parameters [option]
ipfwadm -O command parameters [option]
ipfwadm -M [ -l | -s ] [option]

以下、"ipfwadm -F"のみ、説明します。

"-F"はフォワーディング規則を書くためのオプションで、通常は以下のコマンドが使われます。

-a(append)
新しいフォワーディング規則を追加します。

その際、"m"オプションでIPmasqueradeを有効にします。

-p(policy)
デフォルトのフォワーディング規則を変化させます。パラメータとしては以下の3つがあります。
・accept
・deny
・reject

また、いくつかのパラメータがありますが、ここではアドレスの指定方法のみ説明します。

-S
フォワーディング元のアドレス/ネットマスクを指定する。

-D
フォワーディング先のアドレス/ネットマスクを指定する。

例えば、内部ネットワーク192.168.1.0/24からのアクセスはすべて許可し、それ以外のアクセス、例えば外部からのアクセスは拒否する場合、以下の行を/etc/rc.d/rc.inet2に追加します。

IPFWADM="/sbin/ipfwadm"

   if [ -x $IPFWADM ] ; then
       $IPFWADM -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
       $IPFWADM -F -p deny
   fi

/etc/rc.d/rc.inet2への追加

さらに詳しい使い方は、manコマンドでオンラインマニュアルを見て下さい。

% man ipfwadm

2.4 参考文献

LDP(Linux Documentation Project)のサイトにfirewallに関するHOWTO文書があります。

<%url http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html>

<%url http://jf.gee.kyoto-u.ac.jp/JF/JF-ftp/euc/Firewall-HOWTO.html>
日本語版です。

home |index |previous |next |contents

since 04/Oct/2004