| ENC(4) | FreeBSD Kernel Interfaces Manual | ENC(4) |
名称
enc — カプセル化インタフェース書式
このドライバをカーネルにコンパイルするためには、次の行を利用者のカーネル設定ファイルに置きます:
device enc
解説
enc インタフェースは、ホストまたはファイアウォールが pfil(9) フレームワークを通してフックする任意のファイアウォールパッケージを使用して ipsec(4) トラフィックをフィルタできるソフトウェアループバックメカニズムです。enc インタフェースによって、管理者は、着信と発信パケットの前と後、または tcpdump(1) を通して ipsec(4) によって処理される前と後を調べることができます。
“ enc0”インタフェースはすべての IPsec トラフィックを引き継ぎます。したがって、“ enc0”に基づいてすべての IPsec トラフィックをフィルタすることができ、すべての IPsec トラフィックを“ enc0”インタフェースで tcpdump(1) を呼び出すことによって調べるかもしれません。
tcpdump(1) で調べることができるものと、 pfil(9) フレームワークを通してファイアウォールを通りすぎるものを、次の sysctl(8) 変数を使用して独自に制御することができます:
| 名前 | デフォルト | 提案値 |
| net.enc.out.ipsec_bpf_mask | 0x00000003 | 0x00000001 |
| net.enc.out.ipsec_filter_mask | 0x00000001 | 0x00000001 |
| net.enc.in.ipsec_bpf_mask | 0x00000001 | 0x00000002 |
| net.enc.in.ipsec_filter_mask | 0x00000001 | 0x00000002 |
着信パスに関して、 0x1 の値は、“ 外向きのヘッダを取り除く前”を意味し、 0x2 は、“ 外向きのヘッダを取り除いた後”を意味します。発信パスに関して、 0x1 は、“ 内向きのヘッダのみ付き”を意味し、 0x2 は、“ 外向きと内向きのヘッダ付き”を意味します。
incoming path (着信パス) |------|
---- IPsec processing ---- (before) ---- (after) ----> | |
前 後 | Host |
<--- IPsec processing ---- (after) ----- (before) ---- | |
outgoing path (発信パス) 後 前 |------|
ほとんどの人々は、 ipsec_filter_mask のために提案されたデフォルトで実行し、外向きのヘッダのためにセキュリティポリシデータベースを当てにしたいでしょう。
| November 28, 2007 | FreeBSD |