WIDE Paper-List in 2006 LinuxにおけるIPバージョン非依存なコネクショントラッキングの設計と実装 wide-paper-usagi-ieice2005-00.txt WIDE Project: http://www.wide.ad.jp/ If you have any comments on this document, please contact to ad@wide.ad.jp. Title: LinuxにおけるIPバージョン非依存なコネクショントラッキングの設計と実装 Author(s): 小堺 康之(yasuyuki.kozakai@toshiba.co.jp) 吉藤 英明(hideaki@yoshfuji.org) 江崎 浩(hiroshi@wide.ad.jp) 村井 純(junsec@sfc.wide.ad.jp) Date: 01/06/2006 author = [小堺 康之,吉藤 英明,江崎 浩,村井 純] title = [LinuxにおけるIPバージョン非依存なコネクショントラッキングの設計と実装] type = [workshop] institution = [電子情報通信学会 第21回NS・IN研究会] volume = [104 (信学技報 IN2004-248)] number = [690] pages = [29-33] year = [2005] site = [] wideareaname = [Internet (Area 1)] widewgname = [usagi] keyword = [packet filter, firewall, Linux, IPv6, Connection Tracking] references = [S. Deering and R. Hinden. Internet Protocol, Version 6 (IPv6) Specification. RFC2460, December 1998. Netfilter Project. Netfilter Project Web Page. http://www.netfilter.org. USAGI Project. USAGI Project Web Page. http://www.linux-ipv6.org.] summary_ja = [近年のIPv6の利用拡大に伴い,ファイアウォール技術のIPv6対応も 進んでいる.Linuxにおいても同様であり,既にIPv6対応のパケット フィルタが実装されている.しかし,ネットワークフローの状態を 追跡するコネクショントラッキングと呼ばれる機能はIPv6に対応して いなかった.そのため,例えばネットワークフローの状態に基づいた パケットフィルタリングが不可能であった.そこで我々は,IPv6 パケットも扱えるよう一般化したコネクショントラッキングを実装した. 本稿では,その設計および実装方法について報告し,従来のIPv4専用 コネクショントラッキングとの性能比較を行う.] summary = [Recently, the number of IPv6 users has increased and many firewall products have supported IPv6 functions. Linux is one of them, and it already contains IPv6 packet filter. However, it lacked in the Connection Tracking System for IPv6 which would be able to track the states of network flows. So, it couldn't inspect packets by a filter rule using such states. We implemented the generalized Connection Tracking System, so that it can handle not only IPv4 packets but also IPv6 packets. In this paper, we describe the design and implementation of the abovementioned system. In addtion, we compare its capability with the traditional IPv4 Connection Tracking System.] misc = []