| Systemwalker Centric Manager 導入手引書 - UNIX共通 - |
|
目次
索引
|
第3章 インストールの準備
RedHat Enterprise Linux AS (V.3)、RedHat Enterprise Linux ES (V.3)または、RedHat Linux 9では、標準インストール時にOSのファイアウォール機能が有効となっているため、そのままの設定ではSystemwalker Centric Managerの機能が使用できません。
Linuxサーバに運用管理サーバ、部門管理サーバ、業務サーバをインストールする場合は、以下のどちらかの対応が必要です。
ファイアウォール機能を無効とする場合より、ファイアウォール機能に対して必要な通信を許可する方が、安全な環境とすることができます。
運用管理サーバ、部門管理サーバ、業務サーバで、ファイアウォール機能を利用して、必要な通信だけを許可する場合は、以下の設定を行います。
# /sbin/iptables -A INPUT -i lo -j ACCEPT # /sbin/iptables -A OUTPUT -o lo -j ACCEPT
# /sbin/iptables -A INPUT -p icmp -j ACCEPT # /sbin/iptables -A OUTPUT -p icmp -j ACCEPT
# /sbin/iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT # /sbin/iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
udp通信のポート(161/udpや9294/udp)を許可する場合は、udp通信について、接続済の通信を許可します。
# /sbin/iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT # /sbin/iptables -A OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT
“通信ポート一覧”を参照の上、運用管理サーバ、部門管理サーバ、業務サーバで必要な通信を許可してください。各インストール種別での設定例については、“ファイアウォール機能の設定例”を参照してください。
※ 送信、受信ともにすべて、 --sportオプションではなく、--dportオプションを指定して設定します。
# /sbin/iptables -A OUTPUT -p プロトコル --dport ポート番号 -j ACCEPT
例) 送信ポート9294/tcpの通信を許可する場合
# /sbin/iptables -A OUTPUT -p tcp --dport 9294 -j ACCEPT
# /sbin/iptables -A INPUT -p プロトコル --dport ポート番号 -j ACCEPT
例) 受信ポート162/udpの通信を許可する場合
# /sbin/iptables -A INPUT -p udp --dport 162 -j ACCEPT
※ リカバリフロー機能を使用するすべての運用管理クライアントからの接続を許可してください。
# /sbin/iptables -A INPUT -p tcp -s 運用管理クライアントのIPアドレス -j ACCEPT
例) 運用管理クライアント(192.168.0.1)からのtcp接続を許可する場合
# /sbin/iptables -A INPUT -p tcp -s 192.168.0.1 -j ACCEPT
# /etc/init.d/iptables save # /sbin/service iptables restart
ファイアウォールへの設定については、“通信ポート一覧”を参照の上、各サーバで送受信可能な通信ポートを設定してください。
各サーバでの設定例については、“ファイアウォール機能の設定例”を参照してください。
通信ポート一覧として、「必須の通信ポート」と「選択可能な通信ポート」を機能別に示します。
送信:送信ポートで、そのサーバから他のサーバへの通信を行うポート
受信:受信ポートで、他のサーバからの通信を受信するポート
|
機能 |
運用管理サーバ |
部門管理サーバ |
業務サーバ |
|||
|
送信 |
受信 |
送信 |
受信 |
送信 |
受信 |
|
|
イベント監視 |
9294/tcp |
9294/tcp |
9294/tcp |
9294/tcp |
9294/tcp |
9294/tcp |
|
Systemwalkerコンソール |
− |
8002/tcp (*1) |
− |
− |
− |
− |
|
ポリシー配付 |
5967/tcp |
− |
5968/tcp |
5967/tcp |
− |
5967/tcp |
|
− |
5969/tcp (*1) |
− |
− |
− |
− |
|
|
認証・通信基盤 |
− |
1261/tcp (*1) |
− |
− |
− |
− |
|
利用者アクセス権設定 |
− |
4013/tcp (*2) |
− |
4013/tcp (*2) |
− |
4013/tcp (*2) |
|
イベント監視のサーバ間連携 |
2952/tcp (*3) |
2952/tcp (*3) |
− |
− |
− |
− |
*1: 運用管理クライアントから運用管理サーバへ接続する場合に使用します。
*2: 運用管理クライアントから、各サーバへ接続する場合に使用します。
*3: 全体監視または連携型二重化環境の場合、EE版の運用管理サーバ間で使用します。
|
機能 |
運用管理サーバ |
部門管理サーバ |
業務サーバ |
|||
|
送信 |
受信 |
送信 |
受信 |
送信 |
受信 |
|
|
ネットワーク管理 |
161/udp (*1) |
161/udp (*1) |
161/udp (*1) |
161/udp (*1) |
161/udp (*1) |
161/udp (*1) |
|
ネットワーク管理 |
− |
162/udp |
− |
162/udp |
162/udp |
− |
|
ネットワーク管理 |
161/udp (*2) |
161/udp (*2) |
161/udp (*2) |
161/udp (*2) |
161/udp (*2) |
161/udp (*2) |
|
5971/tcp (*3) |
5971/tcp (*3) |
5971/tcp (*3) |
5971/tcp (*3) |
− |
− |
|
|
ネットワーク管理 |
161/udp (*4) |
161/udp (*4) |
161/udp (*4) |
161/udp (*4) |
161/udp (*4) |
161/udp (*4) |
|
5971/tcp (*5) |
5971/tcp (*5) |
5971/tcp (*5) |
5971/tcp (*5) |
− |
− |
|
|
ネットワーク管理 |
5971/tcp (*6) |
5971/tcp (*6) |
5971/tcp (*6) |
5971/tcp (*6) |
− |
− |
|
インベントリ管理 |
9396/tcp (*7) |
9396/tcp (*7) |
− |
− |
− |
− |
|
Systemwalkerコンソール |
− |
80/tcp (*8) |
− |
− |
− |
− |
|
資源配付 |
9324/tcp |
9324/tcp |
9324/tcp |
9324/tcp |
9324/tcp |
9324/tcp |
|
資源配付 |
− |
9231/tcp |
− |
9231/tcp |
− |
9231/tcp |
|
資源配付 |
9394/tcp |
9394/tcp |
9394/tcp |
9394/tcp |
9394/tcp |
9394/tcp |
|
資源配付 |
− |
9393/tcp |
− |
9393/tcp |
− |
9393/tcp |
|
資源配付 |
9398/tcp |
9398/tcp |
9398/tcp |
9398/tcp |
9398/tcp |
9398/tcp |
|
資源配付 |
− |
9399/tcp |
− |
9399/tcp |
− |
9399/tcp |
|
資源配付 |
4098/tcp |
− |
− |
4098/tcp |
− |
4098/tcp |
|
イベント監視 |
− |
9345/tcp (*10) |
− |
9345/tcp (*10) |
− |
9345/tcp (*10) |
|
ネットワーク/サーバ性能 |
161/udp |
2750/tcp (*7) |
161/udp |
161/udp |
− |
161/udp |
|
アプリケーション管理 |
2425/tcp |
2425/tcp |
2425/tcp |
2425/tcp |
2425/tcp |
2425/tcp |
|
アプリケーション管理 |
− |
6963/tcp (*7) |
6963/tcp (*7) |
6963/tcp (*7) |
6963/tcp (*7) |
− |
|
6964/tcp |
− |
− |
6964/tcp |
− |
6964/tcp |
|
|
− |
6966/tcp (*11) |
− |
6966/tcp (*11) |
− |
− |
|
|
障害対処 |
9294/udp (*12) |
9294/udp (*12) |
9294/udp (*12) |
9294/udp (*12) |
9294/udp (*12) |
9294/udp (*12) |
|
障害対処 |
6961/tcp |
9371/tcp |
6961/tcp |
9371/tcp |
6961/tcp |
9371/tcp |
|
ヘルプデスク |
− |
9346/tcp (*7) |
− |
− |
− |
− |
|
ヘルプデスク |
− |
2088/tcp (*13) |
− |
− |
− |
− |
*1:自動検出対象ノードは送受信で161/udpポートを使用します。
*2:MIBしきい値監視対象ノードは送受信で161/udpポートを使用します。
*3:部門サーバ配下のノードのMIB監視を行う場合に使用します。
*4:ノード状態表示対象ノードは送受信で161/udpポートを使用します。
*5:部門サーバ配下のノード状態表示を行う場合に使用します。
*6:部門サーバ配下のノード状態監視を行う場合に使用します。
*7:運用管理クライアントから運用管理サーバへ接続する場合に使用します。
*8:ブラウザで接続するクライアントから運用管理サーバへ接続する場合に使用します。
*9:Webコンソールで性能監視(ノード中心マップ/ペアノード経路マップの表示)を使用する場合に使用します。
*10:運用管理クライアントから各サーバへ接続する場合に使用します。
*11:運用管理クライアントから、運用管理サーバ/部門サーバへ接続する場合に使用します。
*12:自動アクションとしてリモートコマンドを利用する場合も使用します。
*13:運用管理クライアントおよびクライアントから、運用管理サーバへ接続する場合に使用します。
運用管理サーバ、部門管理サーバ、業務サーバで、ファイアウォール機能を無効とする場合は、以下の設定を行います。
# /sbin/iptables -F
# /sbin/iptables -P INPUT ACCEPT # /sbin/iptables -P OUTPUT ACCEPT
# /etc/init.d/iptables save # /sbin/service iptables restart
3.8.1 ファイアウォール機能の設定例|
目次
索引
|