このへんになってくると、ポートとか IP アドレスとかインターフェースとか分かってないとツラめかと。
さて、ファイヤーウォールってゆーのは、早い話が特定の IP アドレスやインターフェースからのアクセスを禁止するよーなコトをするコンピュータのコトなの。
まぁ、その名の通り、「壁」ですねぇ。
例えば、見ず知らずのヒトに自分ちのネットワークに侵入されたくないなんて場合には、自分ちのネットワークで使ってる IP アドレスが 192.168.0.1 〜 192.168.0.5 だったとしたら 192.168.0.1 〜 192.168.0.5 の IP アドレス以外のヒトからのアクセスは拒否するとかって設定するワケ。
そーすると、それ以外の外部のヒトは入って来れない、と。
でも・・・入って来れちゃう場合もあったりする(^_^;)
もし、何らかの手段で IP アドレスを偽装してやってくると入られちゃう可能性もあるの。
IP Spoofing ってゆーんだけど、外からやってきたのにパケットヘッダに書かれてる送信元 IP アドレス(よーするに差し出し人の IP アドレスですね)が、192.168.0.3 とかだったりすると、侵入されちゃうワケですねぇ。
プライベート IP アドレスはインターネット上とかでは存在出来ないけど、送るパケットのパケットヘッダを意図的に書き換えて・・・とかすれば実現可能なんでせう(きっと)現にそーゆーツールとかが存在してるらしいし。
# ぼくはクラッカーぢゃないから、そーゆーのはよく知らない(^_^;)
で、それをどー防ぐかって、インターフェースの条件も付ければ良いの。
だから、192.168.0.1 〜 192.168.0.5 な IP アドレスで、かつ自分ちの LAN と繋がってる LAN カードのインターフェースからのアクセス以外は拒否する、みたいに。
そーすると、外から IP アドレスを偽装してやってきても、インターフェースが違うから拒絶したり出来るの。
・・・とは言え、インターフェースまで指定出来るのは少ないよーな感じを受けるです(^_^;)
# ぼくが知ってる限りでは、Linux の IP Masquerade くらい。
あ・・・もちろん、ポートでも指定出来るですよ?
大抵は、(ファイヤーウォールなら)全ポートを拒否するよーにすると思うけど(^_^;)
まぁ、ファイヤーウォール兼ルータとかなら以前に説明した通りサーバーソフトが動いてるポートでなければ足がかりがないワケで、大抵はサーバーソフトが動いてるポートをみんな閉じる(許可された IP アドレス/インターフェース以外は拒否する)よーにするんだと・・・。 # よくやるのが重要なサーバーソフトが動いてる 1024番未満の TCP/UDP ポートをすべて閉じる、とか。
でも、フツー。ファイヤーウォールの上で IRCd とか一般開放するよーなデーモンとかを動かすのは危険だろーからしないでせう。
そぉそぉ。
差し出し人のアドレスのコトを、ソースアドレス (Source Address) 。
宛先のアドレスのコトを、デスティネーションアドレス (Destination Address) って言ったりして、更に分かりにくいときには src やら dst やら略されてたりするコトもあるので、そのへんは覚えておいた方が良いかもです。
# とは言え、英語だから、英語の分かるヒトは覚えるも何も訳すだけだけど(爆)