/proc/ppk/ifs

説明

SecureXL閉じた セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。が使用するインタフェースのリストがコンテナで格納されています。

IPv4用構文

[Expert@MyGW:0]# ls -lR /proc/ppk/

[Expert@MyGW:0]# cat /proc/ppk/ifs

IPv6用構文

[Expert@MyGW:0]# ls -lR /proc/ppk6/

[Expert@MyGW:0]# cat /proc/ppk6/ifs

IPv4 の場合の例

[Expert@MyGW:0]# cat /proc/ppk/ifs
 No | Interface | Address         | IRQ | F   | SIM F | Dev                | Output Func        | Features
-------------------------------------------------------------------------------------------------------------
  2 | eth0      |    192.168.3.52 |  67 |   1 |   480 | 0xffff81023e5df000 | 0x000013a0
  3 | eth1      |     10.20.30.52 |  83 |   1 |   488 | 0xffff81023dd0c000 | 0x000013a0
  4 | eth2      |     40.50.60.52 |  59 |   1 |   480 | 0xffff810237f88000 | 0x000013a0
  5 | eth3      |         0.0.0.0 |  67 |   1 |    80 | 0xffff810239b3d000 | 0x000013a0
  6 | eth4      |         0.0.0.0 |  91 |   1 |    80 | 0xffff81023841f000 | 0x000013a0
  7 | eth5      |         0.0.0.0 |  83 |   1 |   480 | 0xffff8102396fe000 | 0x000013a0
  8 | eth6      |         0.0.0.0 |  59 |   1 |   480 | 0xffff810239a4d000 | 0x000013a0
 10 | bond0     |     70.80.90.52 |   0 |   1 |   280 | 0xffff8101f1a0e000 | 0x000013a0
[Expert@MyGW:0]#

IPv6 の場合の例

[Expert@MyGW:0]# cat /proc/ppk6/ifs
  No | Interface | Address         | IRQ | F  | SIM F | Dev                | Output Func        | Features
-------------------------------------------------------------------------------------------------------------
  2 | eth0      |           fe80:0:0:0:250:56ff:fea3:1807 |  67 |   1 |   480 | 0xffff81023e5df000 | 0x000013a0
  3 | eth1      |           fe80:0:0:0:250:56ff:fea3:15a4 |  83 |   1 |   480 | 0xffff81023dd0c000 | 0x000013a0
  4 | eth2      |           fe80:0:0:0:250:56ff:fea3:2f50 |  59 |   1 |   480 | 0xffff810237f88000 | 0x000013a0
  5 | eth3      |                         0:0:0:0:0:0:0:0 |  67 |   1 |    80 | 0xffff810239b3d000 | 0x000013a0
  6 | eth4      |                         0:0:0:0:0:0:0:0 |  91 |   1 |    80 | 0xffff81023841f000 | 0x000013a0
  7 | eth5      |           fe80:0:0:0:250:56ff:fea3:75a9 |  83 |   1 |   480 | 0xffff8102396fe000 | 0x000013a0
  8 | eth6      |           fe80:0:0:0:250:56ff:fea3:5d4c |  59 |   1 |   480 | 0xffff810239a4d000 | 0x000013a0
 10 | bond0     |           fe80:0:0:0:250:56ff:fea3:287b |   0 |   1 |   280 | 0xffff8101f1a0e000 | 0x000013a0
[Expert@MyGW:0]#

F "および "SIM F "カラムのコンフィグレーションフラグについて説明します。

"F" のカラムは、Firewallがこれらのインタフェースに設定した内部設定フラグを示します。

SIM F" のカラムは、SecureXLがこれらのインタフェースに設定した内部構成フラグを示します。

フラグ

説明

0x001

このフラグが設定されている場合,SecureXLはパケットが「カットスルー」パケットであれば,受信検査の最後にパケットをドロップします。

アウトバウンドでは、SecureXLはすべてのパケットをネットワークに転送します。

0x002

このフラグが設定されている場合、SecureXL は TCP の状態変化(接続の確立または切断)が発生したとき、該当する通知を送信します。

0x004

このフラグを設定すると,SecureXLが暗号化パケットをカプセル化するとき(UDPカプセル化),UDPヘッダのチェックサムフィールドを正しく設定します。

このフラグが設定されていない場合、SecureXLはUDPヘッダのチェックサムフィールドをゼロに設定します。

このフラグを0に設定すると、UDPパケットのチェックサムの計算が継続されるため、無視しても問題ない。

0x008

このフラグを設定すると、SecureXLはConnections Tableのエントリ数が指定した上限に達したとき、テンプレートに一致する新規接続を作成せず、テンプレートに一致するパケットをドロップします。

このフラグが設定されていない場合、SecureXLはパケットをFirewallに転送します。

0x010

このフラグが設定されている場合,SecureXL はフラグメントを Firewall に転送します。

0x020

このフラグを設定すると、SecureXLはTCPテンプレートからのコネクションを作成しなくなります。

Firewallは、必要に応じてSecureXLに接続をオフロードします。

このフラグは、TCPテンプレートの作成のみを無効にします。

0x040

このフラグを設定すると,SecureXLはFirewallに一定間隔で通知するため,Firewallカーネルテーブルのアクセラレーションコネクションを更新します。

0x080

このフラグを設定すると、SecureXLはTCP以外のテンプレートからの接続を作成しなくなります。

Firewallは、必要に応じてSecureXLに接続をオフロードします。

このフラグは、TCP以外のテンプレートの作成のみを無効にします。

0x100

このフラグを設定すると、SecureXLはTCP 3ウェイハンドシェイクプロセスを完了しなかったコネクションに対するシーケンス検証違反を許可します。

このフラグが設定されていない場合,SecureXLは違反パケットをFirewallに転送する必要があります。

0x200

このフラグを設定すると、SecureXLはTCP 3ウェイハンドシェイク処理を完了したコネクションのシーケンス検証違反を許可します。

このフラグが設定されていない場合,SecureXLは違反パケットをFirewallに転送する必要があります。

0x400

このフラグが設定されている場合,SecureXLはTCP [RST]パケットをFirewallに転送します。

0x0001

このフラグが設定されている場合,SecureXL は HitCount データを Firewall に通知する。

0x0002

このフラグが設定されている場合、VSX閉じた 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。バーチャルシステムは通常のバーチャルシステムではなく、ジャンクションとして動作します(ローカルバーチャルシステムフラグのみが適用されます)。

0x0004

このフラグを設定すると,SecureXL は受信暗号化トラフィックの応答カウンタを無効化します。

その結果、SecureXLカーネルモジュールは、VPNカーネルモジュールと同じように動作するようになりました。

0x0008

このフラグがセットされている場合,SecureXL は MSS クランプを有効にします。

sk101219 のカーネルパラメータ "fw_clamp_tcp_mss", "fw_clamp_vpn_mss" を参照してください。

0x0010

このフラグを設定すると、SecureXLは "No Match Ranges" (NMR) Templates (sk117755参照) を無効にします。

0x0020

このフラグを設定すると、SecureXLは "No Match Time" (NMT) Templatesを無効にします (sk117755を参照)。

0x0040

このフラグを設定すると,SecureXLはドロップされたパケットに関するDrop Templates通知をFirewallに送信しません(ドロップカウンタを更新するため)。

例えば、カーネルパラメータ "activate_optimize_drops_support_now" の値を1に設定すると、Drop Templatesの通知が無効となります。

0x0080

このフラグを設定すると、SecureXLはMultiCoreによるIPsec VPN閉じた サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。のサポートを有効にします (sk118097を参照)。

0x0100

このフラグを設定すると、SecureXLはCoreXL Dynamic Dispatcher閉じた CoreXL SND機能を改善しました。CoreXL ファイアウォールインスタンス間でパケットを分散するCoreXL の一部。CoreXL ファイアウォールインスタンス間のトラフィック分散は、CoreXL ファイアウォールインスタンスが実行されているCPU コアの使用率に基づいて動的に行われます。動的な決定は、CoreXLファイアウォールインスタンスのそれぞれにランクを割り当て、ランクが最も低いCoreXLファイアウォールインスタンスを選択することによって、接続の最初のパケットに対して行われます。各CoreXL ファイアウォールインスタンスのランクは、そのCPU 使用率に従って計算されます。CPU 使用率が高いほど、CoreXL ファイアウォールインスタンスのランクが高くなるため、このCoreXL ファイアウォールインスタンスがCoreXL SND によって選択される可能性は低くなります。sk105261を参照。のサポートを有効にします(sk105261を参照)。

0x0800

このフラグを設定すると,SecureXLはIPマルチキャストパケットに対してPath MTU Discoveryを実施しません。

0x1000

このフラグを設定すると、SecureXLはSIMの "drop_templates "機能を無効化します。

0x2000

このフラグが設定されている場合、管理者が Link Selection Load Sharing 機能を有効にしたことを示す。

0x4000

このフラグが設定されている場合、SecureXLは非同期通知機能を無効にします。

0x8000

このフラグが設定されている場合、Firewall Connections Tableの容量が無制限であることを示す。

例:

説明

0x039

これらのフラグの合計を意味する。

  • 0x001

  • 0x008

  • 0x010

  • 0x020

0x00008a16

これらのフラグの合計を意味する。

  • 0x0002

  • 0x0004

  • 0x0010

  • 0x0200

  • 0x0800

  • 0x8000

0x00009a16

これらのフラグの合計を意味する。

  • 0x0002

  • 0x0004

  • 0x0010

  • 0x0200

  • 0x0800

  • 0x1000

  • 0x8000