Systemwalker Centric Manager 導入手引書 - UNIX共通 - |
目次 索引 |
第2章 運用管理サーバの環境構築 |
Red Hat Enterprise Linux AS、またはRed Hat Enterprise Linux ESでは、標準インストール時にOSのファイアウォール機能が有効となっているため、そのままの設定ではSystemwalker Centric Managerの機能が使用できません。
LinuxサーバにSystemwalker Centric Managerをインストールする場合は、以下のどちらかの対応が必要です。
“ファイアウォール機能を無効とする”より、“ファイアウォール機能に対して必要な通信を許可する”方が、安全な環境とすることができます。
ここに記載されているファイアウォール設定のコマンドは、ファイアウォール設定を以下の条件で行っている環境で有効な例です。
上記条件に合わない環境で設定を行う場合は、対象チェインやターゲット(ACCEPTやDROPなど)の指定変更、設定の追加などが必要となります。Linuxサーバのファイアウォール機能については、Linuxのマニュアル等も参照してください。
ファイアウォール機能を利用して、必要な通信だけを許可する場合は、以下の設定を行います。
# /sbin/iptables -I INPUT -i lo -j ACCEPT # /sbin/iptables -I OUTPUT -o lo -j ACCEPT
自サーバ内での通信を使用する機能は以下のとおりです。
【運用管理サーバ自身も監視対象とする場合】
# /sbin/iptables -I INPUT -p icmp -j ACCEPT # /sbin/iptables -I OUTPUT -p icmp -j ACCEPT
ICMP通信を使用する機能は以下のとおりです。
# /sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT # /sbin/iptables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
udp通信のポート(161/udpや9294/udp)を許可する場合は、udp通信について、接続済の通信を許可します。
# /sbin/iptables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT # /sbin/iptables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT
“必須のポート設定”および“使用する機能により必要なポート設定”を参照の上、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。
※ 送信、受信ともにすべて、 --sportオプションではなく、--dportオプションを指定して設定します。
# /sbin/iptables -I OUTPUT -p プロトコル --dport ポート番号 -j ACCEPT
例) 送信ポート9294/tcpの通信を許可する場合
# /sbin/iptables -I OUTPUT -p tcp --dport 9294 -j ACCEPT
# /sbin/iptables -I INPUT -p プロトコル --dport ポート番号 -j ACCEPT
例) 受信ポート162/udpの通信を許可する場合
# /sbin/iptables -I INPUT -p udp --dport 162 -j ACCEPT
※ リカバリフロー機能を使用するすべての運用管理クライアントからの接続を許可してください。
# /sbin/iptables -I INPUT -p tcp -s 運用管理クライアントのIPアドレス -j ACCEPT
例) 運用管理クライアント(192.168.0.1)からのtcp接続を許可する場合
# /sbin/iptables -I INPUT -p tcp -s 192.168.0.1 -j ACCEPT
# /sbin/iptables -I INPUT -p tcp -s クライアントのIPアドレス -j ACCEPT
例) クライアント(192.168.0.1)からのtcp接続を許可する場合
# /sbin/iptables -I INPUT -p tcp -s 192.168.0.1 -j ACCEPT
# /etc/init.d/iptables save # /sbin/service iptables restart
# /sbin/iptables -L
“必須のポート設定”および“使用する機能により必要なポート設定”を参照の上、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。
ファイアウォール機能を無効とする場合は、以下の設定を行います。
# /sbin/iptables -F
# /sbin/iptables -P INPUT ACCEPT # /sbin/iptables -P OUTPUT ACCEPT
# /etc/init.d/iptables save # /sbin/service iptables restart
目次 索引 |