この文書は IPCHAINS-HOWTO です。最新版があるマスターサイトは どこ? を参照して下さい。 LINUX NET-3-HOWTO も読んだ方がよいでしょう。 IP-Masquerading HOWTO, PPP-HOWTO, Ethernet-HOWTO と Firewall HOTO も面白いでしょう。 (そして、繰り返しますが、 alt.fan.bigfoot FAQ も)。
(訳注: alt.fan.bigfoot FAQ <- [雪男のニュースグループ、ギャグ?])
パケットフィルタリングについて既に知っている人は、 なぜ? の章、 どうやって? の章 を読んで、 IP ファイアウォーリングチェイン の章の中のタイトルをざっと眺めてみましょう。
ipfwadm
から移行したい人は、
始めに の章、
どうやって? の章、
そして付録内の
ipchains と ipfwadm との違い の章と、
`ipfwadm-wrapper' スクリプトを使う の章を読みましょう。
Linux ipchains
は Linux IPv4 ファイアウォーリングのコード
(主に BSD からのパクリ)の書き直しであり、ipfwadm
の書き直しでもあります。
その ipfwadm
は、 BSD の ipfw
の書き直しでもあると、私は信じています。
Linux バージョン 2.1.102 以降の IP パケットフィルタが、管理に必要です。
以前の Linux のファイアウォールのコードは fragment を扱えませんし、 (少なくとも Intel 用では) 32 ビットのカウンタしかありませんし、 TCP/UDP/ICMP 以外の仕様のプロトコルを考慮していませんし、 アトミック(瞬間的)に大きく(ルールを)変更することもできませんし、 逆ルールを満たせませんし、 いくつか妙な癖がありましたし、 管理しにくいものでした(利用者のミスを招きやすい)。
(訳注: ここで用いられる「アトミック(原文は `atomically')」は、 ipchains というコマンドの名前の由来にもなっているところだと思います。 ユーザ定義チェインに複数のルールを定義しておき、それを既存のチェインに追加したり、或は既存のチェインを新しく定義したチェインと置換することで、一瞬にしてファイアウォールの作用を変更することができます。)
現在、カーネルのコードの主流は 2.1.102 以降です。 2.0 カーネルシリーズでは、 web ページからパッチをダウンロードする必要があります。 もし、お手持ちの 2.0 カーネルが web 上にて得られるパッチよりも新しいならば、その古いパッチは多分 OK でしょう。 2.0 カーネルの該当部分はおおよそ安定しています。(例えば、 2.0.34 カーネルのパッチは 2.0.35 カーネルにもしっかり当てられます) 2.0 パッチは ipportfw と ipautofw パッチとの互換性がないので、 ipchains 特有の機能を本当に必要としないならば、パッチの導入はお薦めしません。
公式ページは3箇所あります。 Penguin Computing に感謝します。 the SAMBA Team に感謝します。 Jim Pick に感謝します。
バグ報告、議論、開発、使い方を話し合うメーリングリストがあります。 メーリングリストへの入会には、メッセージに ``subscribe ipchains-list'' を書いて、 east.balius.com にメールして下さい。 メーリングリストのメンバー全員にメールを出すには、 east.balius.com の ipchains-list を使って下さい。