うちかわです

>>>>> From: "masaya nakamura" 
>>>>> <[&#x30E1;&#x30FC;&#x30EB;&#x30A2;&#x30C9;&#x30EC;&#x30B9;&#x4FDD;&#x8B77;]>
>>>>> Date: Mon, 17 Sep 2007 07:14:44 +1000

 > 中村です。
 > 
 > 07/09/17 に 
 > ikesan<[&#x30E1;&#x30FC;&#x30EB;&#x30A2;&#x30C9;&#x30EC;&#x30B9;&#x4FDD;&#x8B77;]>
 >  さんは書きました:
 > > ipfw、ipf どちらにも natdが内臓されています。
 > > どちらを使うにしてもカーネルの再構築が必要です。
 > 
 > ありがとうございます。
 > natを使わない限りカーネルの再構築は不要ということですね。

いいえ。natを使う、使わないにかかわらずカーネルの再構築は
不要です。

.....あんまり気は進みませんが指摘しておいた方が良さそうですね。
この部分に限らず[FreeBSD-users-jp 90998]の内容は誤りです。
ネットワークの階層その他についても誤解されているようです。

#20行程度の文章でこれだけツッコミ所のある文章を書けるというのは
#ある意味すごい能力なのかもしれませんが

>アプリケーション層              Proxy  処理は低速, CPU、メモリ資源は必要
>トランスポート層   TCP/UDP      ipfw   処理は中速, CPU、メモリ資源は多少必要
>ネットワーク層     IP           ipf    処理は高速, CPU、メモリ資源は少なくても良い
>データリンク層     Ethernet,MAC address
>物理層

ipfwの方はMACアドレスをルールに入れることもできるのでレイヤ2,3,4
(データリンク+ネットワーク+トランスポート),ipfilter(ipf)やpfは
レイヤ3と4ですかね。
普通のパケットフィルタは始点アドレス、終点アドレス(レイヤ3:ネット
ワーク層)とポート(レイヤ4:トランスポート層)両方ともルールとして
扱います。

#ftpというさらに突っ込み所のあるプロトコルもありますが

それからネットワーク階層の「アプリケーション層」と「アプリケーショ
ンとしての実装」は意味が違います(わざと混同させているのかしらん?)。

#同じ事をやるならカーネル内に実装するよりもユーザアプリケーション
#としての実装の方がオーバーヘッドは大きくなるでしょうね。

#またレイヤ7(ネットワークのアプリケーション層)の処理は複雑な内容
#のものになりがち(=そういう複雑なことをすることが目的)なので負荷
#の重い処理になりやすいです。目的が違うといえます。

Proxyとしての実装をしていてもネットワーク階層としてのレイヤ5以上
を対象としているわけではなくて単に始点アドレスと終点アドレスとポート
の組あわせでフィルタリングを行うだけの実装もあります。

--おまけ--
ipfw,ipfilter,pfのどれを使うかという話は場合によりけりです。
それぞれできることに微妙に違いがあります。ルールの書き方について
は最後発のpfがもっとも簡潔に記述できます。ただftpの扱いについて
は好みが分かれるかもしれません。

pfの日本語FAQ - OpenBSDのページですがほとんどの内容はFreeBSDでも
通用します。今のpfはバージョンが上がっているのでその部分の違いは
あります
http://openbsd.bug.it/faq/pf/ja/
--
  yoshiaki

メールによる返信