ENC(4) | FreeBSD Kernel Interfaces Manual | ENC(4) |
名称
enc — カプセル化インタフェース書式
このドライバをカーネルにコンパイルするためには、次の行を利用者のカーネル設定ファイルに置きます:
device enc
解説
enc インタフェースは、ホストまたはファイアウォールが pfil(9) フレームワークを通してフックする任意のファイアウォールパッケージを使用して ipsec(4) トラフィックをフィルタできるソフトウェアループバックメカニズムです。enc インタフェースによって、管理者は、着信と発信パケットの前と後、または tcpdump(1) を通して ipsec(4) によって処理される前と後を調べることができます。
“ enc0
”インタフェースはすべての IPsec トラフィックを引き継ぎます。したがって、“ enc0
”に基づいてすべての IPsec トラフィックをフィルタすることができ、すべての IPsec トラフィックを“ enc0
”インタフェースで tcpdump(1) を呼び出すことによって調べるかもしれません。
tcpdump(1) で調べることができるものと、 pfil(9) フレームワークを通してファイアウォールを通りすぎるものを、次の sysctl(8) 変数を使用して独自に制御することができます:
名前 | デフォルト | 提案値 |
net.enc.out.ipsec_bpf_mask | 0x00000003 | 0x00000001 |
net.enc.out.ipsec_filter_mask | 0x00000001 | 0x00000001 |
net.enc.in.ipsec_bpf_mask | 0x00000001 | 0x00000002 |
net.enc.in.ipsec_filter_mask | 0x00000001 | 0x00000002 |
着信パスに関して、 0x1
の値は、“ 外向きのヘッダを取り除く前
”を意味し、 0x2
は、“ 外向きのヘッダを取り除いた後
”を意味します。発信パスに関して、 0x1
は、“ 内向きのヘッダのみ付き
”を意味し、 0x2
は、“ 外向きと内向きのヘッダ付き
”を意味します。
incoming path (着信パス) |------| ---- IPsec processing ---- (before) ---- (after) ----> | | 前 後 | Host | <--- IPsec processing ---- (after) ----- (before) ---- | | outgoing path (発信パス) 後 前 |------|
ほとんどの人々は、 ipsec_filter_mask のために提案されたデフォルトで実行し、外向きのヘッダのためにセキュリティポリシデータベースを当てにしたいでしょう。
November 28, 2007 | FreeBSD |