next up previous contents
Next: natd,フィルタリングの設定 Up: フィルタリングとカーネル Previous: カーネルの再構築

カーネルの設定ファイル

カーネル設定ファイルは様々なカーネル組み込みデバイスやカーネル 機能を変更するための基本の設定ファイルです。このファイルは必ず /sys/i386/conf/ ディレクトリになければなりません(通常、/sys は /usr/src/sys にリンクされています。従って、実ディレクトリは /usr/src/sys/i386/conf/ になります)。標準配布のカーネル(/kernel.GENERIC 及び導入当初の /kernel)は /sys/i386/conf/GENERIC ファイルを用いて作成 されたものです。また、様々なカーネル設定のオプションは LINT に詳しく 掲載されていますが、LINT 自体はカーネル構築用のファイルではありませんので、 LINT からカーネルは構築できません。ファイアーウォールを作成する際には、 GENERIC をコピーして(例えば MYKERNEL)、以下の内容を付け足せば良いでしょう。 慣れてくれば、必要のないデバイスなどを削除することなどもしますが、 当面はこれだけで十分です。


options         IPFILTER                #ipfilter support
options         IPFILTER_LOG            #ipfilter logging
options         IPFILTER_DEFAULT_BLOCK  #block all packets by default
options         IPSTEALTH               #support for stealth forwarding
options         TCP_DROP_SYNFIN         #drop TCP packets with SYN+FIN
options         RANDOM_IP_ID

また、BPF(Berkeley Packet Filter)は、デフォルトではデバイスファイル /dev/bpfN(N=0,1,2...)を作れば 16 個まで利用出来ますが、実際の ファイアーウォールでは必要なだけの数に制限した方が良いでしょう。 (後に紹介する iplog で監視するインターフェースの数だけ /dev/bpf は 必要です。) 更に、NFS のオプションは全て外し、NFS serverのコードも使えなく しておきます。


options         NFS_NOSERVER            #Disable the NFS-server code.

但し、実験の際には NFS はデフォルトのままにしておいた方が 便利でしょう。



Noriyo Kanayama