NSS サーバーは、TCP プロトコルを使用して NSS クライアントと通信します。 NSS サーバーは、INADDR_ANY か in6addr_any のどちらかを IP アドレスとして使用して、すべてのスタックにバインドします。 NSS クライアントが接続するインターフェースを含むすべての IP セキュリティー・スタックに対して、IP フィルター規則を定義する必要があります (IKE デーモンを NSS クライアントとして構成する方法の詳細は、IP セキュリティーを参照)。リモート IPSec クライアントは、NSS サーバーとの接続時に一時ポートを使用します。一時ポートは通常、1024 から 65355 の範囲内です。
z/OS® スタックに対して、2 つのタイプの IP フィルター・ポリシーを定義できます。
TCP/IP プロファイルでのデフォルト IP フィルター・ポリシーの定義について詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
以下のデフォルト・ポリシーには、NSS クライアントとの IPv4 および IPv6 NSS サーバー・トラフィックを許可する、IPSECRule 定義が含まれています。
IPSEC LOGENable
; Rule SrcAddr DstAddr Logging Protocol SrcPort DestPort Routing Secclass
; OSPF protocol used by Omproute
IPSECRule * * NOLOG PROTO OSPF
; IGMP protocol used by Omproute
IPSECRule * * NOLOG PROTO 2
; DNS queries to UDP port 53
IPSECRule * * NOLOG PROTO UDP SRCPort * DESTport 53
; Administrative access
IPSECRule * 9.1.1.2 LOG SECCLASS 100
; Network security services (NSS) server access to the NSS client
IPSECRule * * LOG TCP SRCPort 4159 DESTport *
; Network security services (NSS) server access to the NSS client
IPSEC6Rule * * LOG TCP SRCPort 4159 DESTport *
ENDIPSECIP セキュリティー・ポリシー・ファイルの定義について、詳しくは「z/OS Communications Server: IP 構成解説書」の『ポリシー・エージェントおよびポリシー・アプリケーション』のトピックを参照してください。
IPv4 用の IpFilterRule ステートメント、IPv6 用の IpFilterRule ステートメント、および NSS クライアントと NSS サーバーとの通信を許可する IpGenericFilterAction ステートメントの例は、次のとおりです。
IpFilterRule NssTrafficIPv4
{
IpSourceAddr all4
IpDestAddrSet all4
IpService
{
SourcePortRange 4159
DestinationPortRange 1024 65535
Protocol tcp
Direction bidirectional InboundConnect
Routing local
}
IpGenericFilterActionRef permit-nolog
}
IpFilterRule NssTrafficIPv6
{
IpSourceAddr all6
IpDestAddrSet all6
IpService
{
SourcePortRange 4159
DestinationPortRange 1024 65535
Protocol tcp
Direction bidirectional InboundConnect
Routing local
}
IpGenericFilterActionRef permit-nolog
}
IpGenericFilterAction permit-nolog
{
IpFilterAction permit
IpFilterLogging no
}