next up previous contents
Next: 6.3.4 フィルタリングの設定 Up: 6.3 IPFilter Previous: 6.3.2 カーネルの再構築

6.3.3 カーネルの設定ファイル

カーネル設定ファイルは様々なカーネル組み込みデバイスやカーネル 機能を変更するための基本の設定ファイルです。このファイルは必ず /sys/i386/conf/ ディレクトリになければなりません(通常、/sys は /usr/src/sys にリンクされています。従って、実ディレクトリは /usr/src/sys/i386/conf/ になります)。標準配布のカーネル は /sys/i386/conf/GENERIC ファイルを用いて作成 されたものです。また、様々なカーネル設定のオプションは LINT に詳しく 掲載されていますが、LINT 自体はカーネル構築用のファイルではありませんので、 LINT からカーネルは構築できません(LINT 自体は make LINT で生成されます)。 ファイアーウォールを作成する際には、 GENERIC をコピーして(例えば MYKERNEL)、以下の内容を付け足せば良いでしょう。 慣れてくれば、必要のないデバイスなどを削除することなどもしますが、 当面はこれだけで十分です。

options         IPFILTER                #ipfilter support
options         IPFILTER_LOG            #ipfilter logging
options         IPFILTER_DEFAULT_BLOCK  #block all packets by default
options         IPSTEALTH               #support for stealth forwarding
options         TCP_DROP_SYNFIN         #drop TCP packets with SYN+FIN

更に、NFS のオプションは全て外し、NFS serverのコードも使えなく しておきます。

#options         NFSCLIENT
#options         NFSSERVER

但し、実験の際には NFS はデフォルトのままにしておいた方が 便利でしょう。

最後に、これらの変更を施したMYKERNELの識別名を GENERIC から変更します。 (これは例えば /var/log/messages やブート時のメッセージとして残ります ので、GENERICカーネルではないカーネルから立ち上がっている事が分かるように という配慮です。)

ident           MYKERNEL



Noriyo Kanayama