「ファイアウォール」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(同期)
2行目: 2行目:
 
[[en:Firewalls]]
 
[[en:Firewalls]]
 
[[es:Firewalls]]
 
[[es:Firewalls]]
  +
[[fa:Firewalls]]
 
[[it:Firewalls]]
 
[[it:Firewalls]]
 
[[sr:Firewalls]]
 
[[sr:Firewalls]]
11行目: 12行目:
 
フォーラムには様々なファイアウォールアプリやスクリプトについての投稿が存在します。ここではそれらを一つのページに要約しています。それぞれのファイアウォールについて、特に [https://www.grc.com/x/ne.dll?bh0bkyd2 Shields Up] のセキュリティチェックや使いやすさなど、あなたのコメントを追記してください。
 
フォーラムには様々なファイアウォールアプリやスクリプトについての投稿が存在します。ここではそれらを一つのページに要約しています。それぞれのファイアウォールについて、特に [https://www.grc.com/x/ne.dll?bh0bkyd2 Shields Up] のセキュリティチェックや使いやすさなど、あなたのコメントを追記してください。
   
  +
{{Note|LAN 内にルーターが存在する場合 Shields Up によるチェックはルーターの安全性の検査にすぎません。ソフトウェアファイアウォールを正確に検査したい場合は、マシンを直接ケーブルモデムに接続してください。}}
{{Note|Checks at Shields Up are only a valid measure of your router should you have one in the LAN. To accurately evaluate a software firewall, one needs to directly connect the box to the cable modem.}}
 
   
 
==ファイアウォールのガイドとチュートリアル==
 
==ファイアウォールのガイドとチュートリアル==
22行目: 23行目:
   
 
* http://www.frozentux.net/documents/iptables-tutorial/ iptables の完全でシンプルなチュートリアル
 
* http://www.frozentux.net/documents/iptables-tutorial/ iptables の完全でシンプルなチュートリアル
* http://www.ibiblio.org/pub/linux/docs/HOWTO/other-formats/html_single/IP-Masquerade-HOWTO.html Masq is a form of Network Address Translation or NAT that allows internally networked computers that do not have one or more registered Internet IP addresses to have the ability to communicate to the Internet via your Linux boxes single Internet IP address.
+
* http://www.ibiblio.org/pub/linux/docs/HOWTO/other-formats/html_single/IP-Masquerade-HOWTO.html マスカレードとはインターネットの IP アドレスが割り当てられていないコンピュータを内部的にネットワーク接続して単一の IP アドレスで Linux マシンを経由してインターネットに接続できるようにするネットワークアドレス変換 (NAT) の一種です。
* http://tldp.org/HOWTO/Masquerading-Simple-HOWTO/ Masquerading, [[Wikipedia:Proxy server#Transparent proxy|transparent proxying]], [[Wikipedia:Port forwarding|port forwarding]], and other forms of [[Wikipedia:Network address translation|Network Address Translations]] with the 2.4 Linux Kernels.
+
* http://tldp.org/HOWTO/Masquerading-Simple-HOWTO/ マスカレード, [[Wikipedia:Proxy server#Transparent proxy|透過プロキシ]], [[Wikipedia:Port forwarding|ポートフォワーディング]], その他の Linux カーネル 2.4 による[[Wikipedia:Network address translation|ネットワークアドレス変換]]
   
 
== iptables ==
 
== iptables ==
44行目: 45行目:
   
 
* {{App|Firestarter|GTK2 で書かれた iptables のための GUI です。トラフィックを調整するためのホワイト・ブラックリストを作ることができます。非常に使いやすく、ウェブサイトには読みやすいドキュメントが存在します。|http://www.fs-security.com/|{{AUR|Firestarter}}}}
 
* {{App|Firestarter|GTK2 で書かれた iptables のための GUI です。トラフィックを調整するためのホワイト・ブラックリストを作ることができます。非常に使いやすく、ウェブサイトには読みやすいドキュメントが存在します。|http://www.fs-security.com/|{{AUR|Firestarter}}}}
* {{App|Firewall Builder|GUI のファイアウォール設定・管理ツールで iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA), Cisco ルーター拡張アクセスリストをサポートしています。プログラムは Linux, FreeBSD, OpenBSD, Windows, Mac OS X で動作し、ローカルとリモート両方のファイアウォールを管理できます。|http://www.fwbuilder.org/|{{Pkg|fwbuilder}}}}
+
* {{App|Firewall Builder|GUI のファイアウォール設定・管理ツールで iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA), Cisco ルーター拡張アクセスリストをサポートしています。プログラムは Linux, FreeBSD, OpenBSD, Windows, macOS で動作し、ローカルとリモート両方のファイアウォールを管理できます。|http://www.fwbuilder.org/|{{Pkg|fwbuilder}}}}
 
* {{App|firewalld|ファイアウォールのルールの設定だけでなくネットワークやファイアウォールゾーンも設定できるグラフィカルインターフェイスとデーモンを提供します。|https://fedoraproject.org/wiki/FirewallD|{{Pkg|firewalld}}}}
 
* {{App|firewalld|ファイアウォールのルールの設定だけでなくネットワークやファイアウォールゾーンも設定できるグラフィカルインターフェイスとデーモンを提供します。|https://fedoraproject.org/wiki/FirewallD|{{Pkg|firewalld}}}}
 
* {{App|[[Uncomplicated_Firewall#Gufw|Gufw]]|iptables の CLI フロントエンドである {{Pkg|ufw}} の GTK ベースのフロントエンドです (gufw->ufw->iptables)。非常に簡単でシンプルに使えます。|http://gufw.org/|{{Pkg|gufw}}}}
 
* {{App|[[Uncomplicated_Firewall#Gufw|Gufw]]|iptables の CLI フロントエンドである {{Pkg|ufw}} の GTK ベースのフロントエンドです (gufw->ufw->iptables)。非常に簡単でシンプルに使えます。|http://gufw.org/|{{Pkg|gufw}}}}
* {{App|KMyFirewall|iptables の KDE3 GUI です。ファイアウォール設定機能はシンプルで初心者にとって使いやすく、凝った設定をすることも可能です。|http://kmyfirewall.sourceforge.net/|{{AUR|kmyfirewall}}}}
 
 
* {{App|[[PeerGuardian Linux]]|プライバシーを指向しているファイアウォールアプリケーション。ブロックリスト (数千・数百万の IP) に指定されているホストからの接続をブロックします。|http://sourceforge.net/projects/peerguardian/|{{AUR|pgl}}}}
 
* {{App|[[PeerGuardian Linux]]|プライバシーを指向しているファイアウォールアプリケーション。ブロックリスト (数千・数百万の IP) に指定されているホストからの接続をブロックします。|http://sourceforge.net/projects/peerguardian/|{{AUR|pgl}}}}
 
* {{App|[[Uncomplicated_Firewall#kcm-ufw|kcm-ufw]]|Gufw の KDE バージョンです。|http://kde-apps.org/content/show.php?content=137789|{{AUR|kcm-ufw}}}}
 
* {{App|[[Uncomplicated_Firewall#kcm-ufw|kcm-ufw]]|Gufw の KDE バージョンです。|http://kde-apps.org/content/show.php?content=137789|{{AUR|kcm-ufw}}}}
  +
  +
== nftables ==
  +
  +
[[nftables]] は従来の ip-, ip6-, arp-, ebtables フレームワークを置き換えることを目指している netfilter プロジェクトです。いつの間にか iptables を置き換えると言われています。
   
 
==その他==
 
==その他==

2016年11月15日 (火) 21:27時点における版

ファイアウォールとは、権限のないアクセスやプライベートネットワーク(マシンは一つだけという事もありえます)からマシンを守るために設計されたシステムのことです。ハードウェアやソフトウェアだけで実装することもできますし、両方を組み合わせてファイアウォールを作ることもできます。ファイアウォールはインターネット(特にイントラネット)に専属されたプライベートネットワークのアクセスから権限のないインターネットユーザーを守るために使われることがしばしばあります。イントラネットを出入りする全てのメッセージはファイアウォールに通され、それぞれのメッセージが検査され、セキュリティ設定に基づいて許可されたり拒否されます。

このページにリストアップされているファイアウォールはほとんど全て iptables がベースになっています。The Arch Way を守るために (下で触れられている) wiki ページに従って自分自身で iptables を設定することも考慮してください。

フォーラムには様々なファイアウォールアプリやスクリプトについての投稿が存在します。ここではそれらを一つのページに要約しています。それぞれのファイアウォールについて、特に Shields Up のセキュリティチェックや使いやすさなど、あなたのコメントを追記してください。

ノート: LAN 内にルーターが存在する場合 Shields Up によるチェックはルーターの安全性の検査にすぎません。ソフトウェアファイアウォールを正確に検査したい場合は、マシンを直接ケーブルモデムに接続してください。

ファイアウォールのガイドとチュートリアル

他サイトのファイアウォールチュートリアル

iptables

Linux カーネルには内蔵のファイアウォールとして iptables が含まれています。 ユーザースペースユーティリティを使って直接設定することも、GUI の設定ツールをインストールすることも可能です。

コンソールフロントエンド

  • Arno's firewall — シングル・マルチホーム両方のマシンのためのセキュアなファイアウォールです。設定しやすく細かくカスタマイズ可能で、以下をサポートしています: NAT と SNAT、ポートフォワーディング、固定・動的 IP が設定された ADSL イーサネットモデム、MAC アドレスフィルタリング、ステルスポートスキャン検知、DMZ と DMZ-2-LAN フォワーディング、SYN/ICMP 攻撃からの防御、ログ攻撃を防ぐためにレートを制限できる拡張性のあるユーザー定義ログ、IPsec などの全ての IP プロトコルと VPN、機能を追加するためのプラグイン。
http://rocky.eld.leidenuniv.nl/ || arno-iptables-firewallAUR
  • ferm — 複雑なファイアウォールを管理するためのツールです。何度も複雑なルールを書きなおすことがないようになっています。ferm では複数のファイルに分割してファイアウォールのルールを保存でき、1つのコマンドでそれらをロードします。ファイアウォールの設定は構造化プログラミングライクな言語に似ており、レベルとリストを含むことができます。
http://ferm.foo-projects.org/ || ferm
  • Firehol — ファイアウォールのルールを記述する言語で、ファイアウォールを作成するようなただのスクリプトではありません。凝ったファイアウォールを簡単に作成することができます。
http://firehol.sourceforge.net/ || fireholAUR
  • Firetable — "人間に読める" (human readable) 構文を持った iptables ベースのファイアウォールです。
http://projects.leisink.net/Firetable || firetableAUR
  • Shorewall — Netfilter を設定するための高水準ツールです。設定ファイルの中にファイアウォール・ゲートウェイの必要条件をエントリを使って記述します。
http://www.shorewall.net/ || shorewall
  • ufw — iptables のシンプルなフロントエンド。
https://launchpad.net/ufw || ufw
  • PeerGuardian Linux — プライバシーを指向しているファイアウォールアプリケーション。ブロックリスト (数千・数百万の IP) に指定されているホストからの接続をブロックします。
http://sourceforge.net/projects/peerguardian/ || pgl-cliAUR
  • Vuurmuur — パワフルなファイアウォールマネージャです。簡単に設定を行うことができ、単純な設定だけでなく複雑な設定も作ることができます。設定は全て ncurses GUI で行うので、SSH やコンソールを通してリモートで管理することが可能です。Vuurmuur はトラフィックシェーピングをサポートし、パワフルなモニタリング機能を持ち、そしてリアルタイムでのログ・接続・帯域使用量の監視ができます。
http://www.vuurmuur.org/ || vuurmuurAUR

グラフィカルフロントエンド

  • Firestarter — GTK2 で書かれた iptables のための GUI です。トラフィックを調整するためのホワイト・ブラックリストを作ることができます。非常に使いやすく、ウェブサイトには読みやすいドキュメントが存在します。
http://www.fs-security.com/ || FirestarterAUR
  • Firewall Builder — GUI のファイアウォール設定・管理ツールで iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA), Cisco ルーター拡張アクセスリストをサポートしています。プログラムは Linux, FreeBSD, OpenBSD, Windows, macOS で動作し、ローカルとリモート両方のファイアウォールを管理できます。
http://www.fwbuilder.org/ || fwbuilder
  • firewalld — ファイアウォールのルールの設定だけでなくネットワークやファイアウォールゾーンも設定できるグラフィカルインターフェイスとデーモンを提供します。
https://fedoraproject.org/wiki/FirewallD || firewalld
  • Gufw — iptables の CLI フロントエンドである ufw の GTK ベースのフロントエンドです (gufw->ufw->iptables)。非常に簡単でシンプルに使えます。
http://gufw.org/ || gufw
  • PeerGuardian Linux — プライバシーを指向しているファイアウォールアプリケーション。ブロックリスト (数千・数百万の IP) に指定されているホストからの接続をブロックします。
http://sourceforge.net/projects/peerguardian/ || pglAUR
  • kcm-ufw — Gufw の KDE バージョンです。
http://kde-apps.org/content/show.php?content=137789 || kcm-ufwAUR

nftables

nftables は従来の ip-, ip6-, arp-, ebtables フレームワークを置き換えることを目指している netfilter プロジェクトです。いつの間にか iptables を置き換えると言われています。

その他

  • EtherApe — 様々な OSI 階層・プロトコルに対応したグラフィカルなネットワークモニター。
http://etherape.sourceforge.net/ || etherape
  • Fail2ban — デーモンの認証に何度も失敗した IP を BAN する。
http://www.fail2ban.org/ || fail2ban

参照