イーサネットプロトコルの管理
ブリッジ・インタフェースを使用してSecurity Gateway を設定し、ブリッジ・インタフェースを通過するIP に基づいていないプロトコルを許可または削除することができます。たとえば、IPv4、IPv6、またはARP 以外のプロトコルです。
デフォルトでは、これらのプロトコルはSecurity Gateway によって許可されます。
以下の場合、IPv4、IPv6、またはARP 以外のプロトコルのフレームが許可されます。
Security Gateway では、カーネル・パラメータfwaccept_unknown_protocol の値は1 です(すべてのフレームが受け入れられます)。
管理サーバの該当するuser.def ファイルのOR。allowed_ethernet_protocols テーブルで定義されたプロトコルIS。
管理サーバ上の該当するuser.def ファイルでは、プロトコルはdropped_ethernet_protocols テーブルでは定義されていません。
IPv4、IPv6、またはARP 以外の特定のプロトコルのみを受け入れるようにSecurity Gateway を設定するには
ステップ | 手順 |
|---|
1 | Security Gateway で、カーネル・パラメータfwaccept_unknown_protocol の値を0 に設定します。 
| 重要 - では、すべてのクラスタメンバを同じ方法で設定する必要があります。 | Security Groupでコマンドラインに接続します。 にログインします。 現在の$FWDIR/boot/modules/fwkern.confファイルをバックアップします。 cp -v $FWDIR/boot/modules/fwkern.conf{,_BKP}
|
現在の$FWDIR/boot/modules/fwkern.confファイルを編集します: vi $FWDIR/boot/modules/fwkern.conf
|
この行を追加します(スペースまたはコメントは許可されません)。 fwaccept_unknown_protocol=0
|
変更内容をファイルに保存し、エディタを終了します。 9. Security Gateway を再起動します。 この時点で再起動できない場合は、次のようにします。
|
2 | 管理サーバで、該当するuser.def ファイルを編集します。 
| Note - user.def ファイルのリストについては、sk98239 を参照してください。 | 現在適用可能なuser.def ファイルをバックアップします。 現在適用可能なuser.def ファイルを編集します。 次のディレクティブを追加します。  例 $ifndef __user_def__
$define __user_def__
\\
\\ User defined INSPECT code
\\
allowed_ethernet_protocols={ <0x0800,0x86DD,0x0806>);
dropped_ethernet_protocols={ <0x8137,0x8847,0x9100> );
endif /*__user_def__*/ |
EtherType 番号の一覧については、http://standards-oui.ieee.org/ethertype/eth.csv.を参照してください。 変更内容をファイルに保存し、エディタを終了します。
|
3 | このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。 |
