Systemwalker Centric Manager 導入手引書 - UNIX共通 -
目次 索引 前ページ次ページ

第2章 運用管理サーバの環境構築

2.10 Linuxサーバでファイアウォールの設定

Red Hat Enterprise Linux AS、またはRed Hat Enterprise Linux ESでは、標準インストール時にOSのファイアウォール機能が有効となっているため、そのままの設定ではSystemwalker Centric Managerの機能が使用できません。

LinuxサーバにSystemwalker Centric Managerをインストールする場合は、以下のどちらかの対応が必要です。

“ファイアウォール機能を無効とする”より、“ファイアウォール機能に対して必要な通信を許可する”方が、安全な環境とすることができます。

ここに記載されているファイアウォール設定のコマンドは、ファイアウォール設定を以下の条件で行っている環境で有効な例です。

上記条件に合わない環境で設定を行う場合は、対象チェインやターゲット(ACCEPTやDROPなど)の指定変更、設定の追加などが必要となります。Linuxサーバのファイアウォール機能については、Linuxのマニュアル等も参照してください。

■ファイアウォール機能に対して必要な通信設定を行う場

ファイアウォール機能を利用して、必要な通信だけを許可する場合は、以下の設定を行います。

  1. 自サーバ内で使用する通信を許可します。
    # /sbin/iptables -I INPUT -i lo -j ACCEPT
    # /sbin/iptables -I OUTPUT -o lo -j ACCEPT

    自サーバ内での通信を使用する機能は以下のとおりです。

    【運用管理サーバ自身も監視対象とする場合】

  2. ICMP通信を許可します。
    # /sbin/iptables -I INPUT -p icmp -j ACCEPT
    # /sbin/iptables -I OUTPUT -p icmp -j ACCEPT

    ICMP通信を使用する機能は以下のとおりです。

  3. 接続済の通信を許可します。
    運用管理サーバに接続してきたコンピュータに対して、同じ経路を使用して応答できるようにします。
    # /sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
    # /sbin/iptables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

    udp通信のポート(161/udpや9294/udp)を許可する場合は、udp通信について、接続済の通信を許可します。

    # /sbin/iptables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
    # /sbin/iptables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT
  4. 特定の通信を許可します。

    必須のポート設定”および“使用する機能により必要なポート設定”を参照の上、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。

    ※ 送信、受信ともにすべて、 --sportオプションではなく、--dportオプションを指定して設定します。

  5. リカバリフロー機能を使用する場合は、運用管理サーバで、運用管理クライアントからのtcp接続を許可します。

    ※ リカバリフロー機能を使用するすべての運用管理クライアントからの接続を許可してください。

    # /sbin/iptables -I INPUT -p tcp -s 運用管理クライアントのIPアドレス -j ACCEPT

    例) 運用管理クライアント(192.168.0.1)からのtcp接続を許可する場合

    # /sbin/iptables -I INPUT -p tcp -s 192.168.0.1 -j ACCEPT
  6. Webコンソールで性能監視(ノード中心マップ/ペアノード経路マップの表示)を使用する場合は、運用管理サーバで、ブラウザで接続するクライアントからのtcp接続を許可します。
    # /sbin/iptables -I INPUT -p tcp -s クライアントのIPアドレス -j ACCEPT

    例) クライアント(192.168.0.1)からのtcp接続を許可する場合

    # /sbin/iptables -I INPUT -p tcp -s 192.168.0.1 -j ACCEPT
  7. 設定の保存と反映を行います。設定はすぐにシステムに反映され、システム再起動後も有効になります。
    # /etc/init.d/iptables save
    # /sbin/service iptables restart
  8. 設定が反映されている事を、以下のコマンドで確認します。
    # /sbin/iptables -L

必須のポート設定”および“使用する機能により必要なポート設定”を参照の上、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。

■ファイアウォール機能を無効とする場

ファイアウォール機能を無効とする場合は、以下の設定を行います。

  1. 現在のファイアウォールの設定を消去します。
    # /sbin/iptables -F
  2. すべての送受信を許可します
    # /sbin/iptables -P INPUT ACCEPT
    # /sbin/iptables -P OUTPUT ACCEPT
  3. 設定の保存と反映を行います。設定はすぐにシステムに反映され、システム再起動後も有効になります。
    # /etc/init.d/iptables save 
    # /sbin/service iptables restart

下へ2.10.1 必須のポート設定
下へ2.10.2 使用する機能により必要なポート設定
下へ2.10.3 ファイアウォール機能の設定例

目次 索引 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 1995-2005