阿部です。 On Sun, Sep 16, 2007 at 11:15:47PM +1000, masaya nakamura wrote > > IPパケットフィルターで余分なアクセスを拒否しようと思って少し調べたところ > ipfwという方法とpfという方法があることが分かりました。
FreeBSD では ipf というのも使えます。 > どちらの方法を使用したらいいのか、あるいは大した違いは無いのか。 > カーネルの再構築は必要なのかどうなのか。 私が使っているのは、ipfw と pf だけなので ipf についてはふれません。 最初に、カーネルの再構築については不要です。 root で、 # kldlod ipfw か # kldload pf とすると即座にフィルタリングができます。 ただし、ipfw の場合は、デフォルトがすべて拒否なので リモートから作業している場合は注意が必要です。 pf の場合は、デフォルトは許可のようですが、 # pfctl -e としないと pf の機能自体が有効にならないです。 ipfw と pf の大きな違いは、ipfw は MAC アドレスのフィルタリングもできる、 ということですかね。あとは、ルールを記述する文法の好みではないでしょうか。 pf の方がプログラムから system(3) を経由して呼び出して利用するには、便利です。 ipfw の場合は、C 言語から直接利用する場合に、pf よりは使いやすいです。 スクリプトから呼び出して迷惑メールや ssh へのアクセスを 動的にルール追加する場合は、pf の方が使いやすいです。 附属のオンラインマニュアルを読んで、 使いやすい方を選べば良いのではないでしょうか。 ではでは。 -- 阿部康一/Kouichi ABE (WALL) [メールアドレス保護] http://www.MysticWALL.COM/ 4196 185C B814 8F96 D170 B492 71A8 1B2B B9D5 5CF5
