Mac OS X Server 10.3: ファイアウォール設定とログ記録について

ファイアウォールの起動時
IP フィルタ起動項目は、設定されているルールを起動時にファイアウォールにロードします。IP フィルタは、「/etc/hostconfig」ファイルの IPFILTER フラグの設定に基づいてファイアウォールを有効または無効にします。ファイアウォールは、デフォルトでは無効になっています。

注：プロセスを表示してみても、ファイアウォールまたは IP フィルタは独立のプロセスとしては表示されません。ルールはオペレーティングシステムのカーネルに直接ロードされ、設定に基づいて適用されます。

「ipfilter」フォルダについて
「/etc/ipfilter」フォルダには、ファイアウォールの設定に使用するファイルが格納されています。「サーバ管理」を使用してファイアウォール の設定した場合、変更はこれらのファイルに保存されます。「サーバ管理」がルールのセットを保存するとき、以前までのルールが破棄されます。 「/etc/ipfilter/ipfw.conf.apple」が生成され、そのファイル内のルールが ipfw(8) コマンドを使用してロードされます。

また、「/etc/ipfilter/ipfw.conf」に追加されたルールはすべてファイアウォールに追加されます。このファイルには、ルールをファイルに追加する方法を説明するコメントが含まれています。コメントを読むには、ファイルをテキストエディタで開きます。

拒否したパケットのログ記録
「ファイアウォール」パネルの「ログ」オプションを使用して、「許可したすべて」のパケットまたは「拒否したすべて」のパケットを選択できます。拒否した パケットを選択した場合、「unreach（未到達）」または「reset（リセット）」のルールに従って拒否したパケットはログに記録されません。

詳細設定オプションの使用
「ファイアウォール」パネルの「詳細」セクションでは、自由にルールを作成できますが、間違えた場合には不正になる可能性もあります。不正なルールを作成 してしまった場合、エラーの種類を示すメッセージがシステムのログに書き込まれます（エラーの原因となったルールは示されません）。不正だったルールと、 それ以降のルールはファイアウォールにロードされませんが、エラーの手前までのルールはロードされます。不正なルールによってサーバが利用できない状態に なる可能性もあるため、十分理解している場合にのみ「詳細」パネルを使用するようにします。

多数のルールの使用
ファイアウォールへのルールのロードに要する時間は、ルール数の関数で表せます。「一般」リストにおいて多数の個別のポートを開いた場合には、ファイアウォールへのルールのロードに 10 秒以上要することがあります。

有効にしたルールが多く、そのために 90 秒以上を要する場合、「サーバ管理」アプリケーションは、サーバ側コンポーネントがクラッシュしたかタイムアウトした可能性があることを示すダイアログを 表示します。また、通常はシステムのログファイルに、SIGALARM メッセージが記録されます。タイムアウトを避けるには、ルールの数を減らすか、ルールを「サーバ管理」アプリケーションの外で管理します。

NAT 使用時には必須
NAT サービスを有効にした場合、ファイアウォールサービスも有効にする必要があります。

デフォルトでポート 80 をブロック
デフォルトでは、ファイアウォールは、一般に Web サービスに利用される HTTP ポート 80 をブロックします。

このトピックについてのさらに詳しい情報は、『ネットワークサービスの管理』を参照してください。Mac OS X Server ディスクセットのディスク 2、または http://apple.com/jp/server/documentation/pdfs/Network_Services-J.pdf にあります。