Systemwalker Centric Manager 導入手引書 - UNIX共通 -
目次 索引 前ページ次ページ

第2章 運用管理サーバの環境構築

2.11 Solarisサーバでファイアウォールの設定

Solaris 10では、標準でIP Filterというファイアウォール機能がインストールされており、設定次第で有効にすることができます。Solaris 10のファイアウォール機能を利用している環境にSystemwalker Centric Managerをインストールする場合には、以下のどちらかの対応が必要です。

ファイアウォール機能が有効になっているか確認する

Solaris 10でファイアウォール機能が有効になっているかどうかは、以下のコマンドなどで確認できます。
詳細は、Solaris 10のマニュアルを参照してください。

# /usr/bin/svcs -a
STATE          STIME    FMRI
legacy_run     Mar_08   lrc:/etc/rcS_d/S29wrsmcfg
legacy_run     Mar_08   lrc:/etc/rc2_d/S10lu
legacy_run     Mar_08   lrc:/etc/rc2_d/S20sysetup
legacy_run     Mar_08   lrc:/etc/rc2_d/S40llc2
・・・
online         17:06:23 svc:/network/ipfilter:default
・・・
 ※ “svc:/network/ipfilter:default”エントリがonlineになっている場合に有効

ファイアウォール機能により、どの通信が制限されているかを確認するには、以下のコマンドなどで確認可能です。
詳細は、Solaris 10のマニュアルを参照してください。

# /usr/sbin/ipfstat -io
pass out quick on lo0 all
block out log quick on hme0 from any to any port = 80
pass in quick on lo0 all
block in log quick on hme0 from any to any port = 80

■ファイアウォール機能に対して必要な通信設定を行う場合

Solaris 10標準のファイアウォールの設定を変更し、必要な通信だけを許可する設定を行う場合は、以下の手順に従ってください。

本手順は、一般的な設定を記載しています。導入している環境により、設定内容を修正してください。

  1. 自サーバ内で使用する通信を許可します。

    この例では、ループバックデバイス(lo0)と通信用のインタフェース(hme0)とします。ネットワーク性能を低下させないため、できるだけファイルの先頭に記載します。
    ループバックデバイスからパケットを受信する場合、およびループバックデバイスへパケットを送信する場合の通信を許可します。“lo0”は、ループバックデバイス名です。確認は、ifconfig(1M)を参照してください。

    pass out quick on lo0 all
    pass in quick on lo0 all

    自サーバ内での通信を使用する機能は以下のとおりです。

    【運用管理サーバ自身も監視対象とする場合】

  2. ICMP通信を許可します。
    pass in log proto icmp from any to any keep state
    pass out log proto icmp from any to any keep state

    ICMP通信を使用する機能は以下のとおりです。

  3. 特定の通信を許可します。

    必須のポート設定”および“使用する機能により必要なポート設定”を参照の上、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。

  4. リカバリフロー機能を使用する場合は、運用管理サーバで、運用管理クライアントからのtcp接続を許可します。

    ※ リカバリフロー機能を使用するすべての運用管理クライアントからの接続を許可してください。

    pass in quick on hme0 proto tcp from 運用管理クライアントのIPアドレス to any keep state

    例) 運用管理クライアント(192.168.0.1)からのtcp接続を許可する場合

    pass in quick on hme0 proto tcp from 192.168.0.1 to any keep state
  5. Webコンソールで性能監視(ノード中心マップ/ペアノード経路マップの表示)を使用する場合は、運用管理サーバで、ブラウザで接続するクライアントからのtcp接続を許可します。
    pass in quick on hme0 proto tcp from クライアントのIPアドレス to any keep state

    例) クライアント(192.168.0.1)からのtcp接続を許可する場合

    pass in quick on hme0 proto tcp from 192.168.0.1 to any keep state
  6. 許可した以外のポートを拒否するための設定をします。

    拒否したポートについては、ipmon(1M)で確認できるようにロギングします。

    block in log on hme0 from any to any
    block out log on hme0 from any to any
  7. ファイアウォールの設定を有効にします。

    ファイアウォールの設定を有効にするには、以下のコマンドを実行します。

    # /usr/sbin/ipf -Fa -E -f /etc/ipf/ipf.conf
  8. 設定が反映されていることを確認します。

    設定が反映されていることを確認するには、以下のコマンドを実行します。

    # /usr/sbin/ipfstat -io
    pass out quick on lo0 all
    pass out log quick on hme0 proto tcp from any to any port = telnet keep state
    pass out quick on hme0 proto tcp/udp from any to any port = uxpopagt
    pass out log proto icmp from any to any keep state
    block out log quick on hme0 all
    pass in quick on lo0 all
    pass in log quick on hme0 proto tcp from any to any port = telnet keep state
    pass in quick on hme0 proto tcp/udp from any to any port = uxpopagt
    pass in quick on hme0 proto tcp from any to any port = 8002 keep state
    pass in log proto icmp from any to any keep state
    block in log quick on hme0 all

■ファイアウォール機能を無効とする場合

サーバの外部などでファイアウォールが存在し、Solaris 10に標準で添付されているファイアウォールを使用しなくてもセキュリティが確保できる場合は、ファイアウォール機能自身を無効化することができます。

その場合は、以下の手順を実施します。

# /usr/sbin/ipf -Fa

なお、次回リブート時にも恒久的に無効化したい場合は、上記の手順に加え、以下のファイルも削除してください。

上記ファイルについては、削除(コマンドでは“rm(1)”)ではなく、リネーム(コマンドでは“mv(1)”)により、別名で保存することをお勧めします。
上記ファイルを削除、またはリネームした後は、リブートを行い、ファイアウォールの設定が無効になっていることをipfstat(1M)で確認してください。


下へ2.11.1 必須のポート設定
下へ2.11.2 使用する機能により必要なポート設定
下へ2.11.3 ファイアウォール機能の設定例

目次 索引 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 1995-2005