|
Systemwalker Centric Manager 導入手引書 - UNIX共通 -
|
目次
索引
 
|
第3章 インストールの準備
- 3.8 Linuxサーバで必須の設定
3.8.1 ファイアウォール機能の設定例
運用管理サーバ、部門管理サーバおよび業務サーバのファイアウォール機能の設定例を以下に示します。
■ファイアウォール機能の設定例(運用管理サーバ)
#****全サーバ共通の必須設定****
# 自サーバ内通信の許可、ICMP通信の許可、接続済通信の許可を設定
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT
#****運用管理サーバ 必須ポート****
/sbin/iptables -A OUTPUT -p tcp --dport 9294 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9294 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8002 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 5967 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 5968 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5969 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 1261 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 4013 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 2952 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 2952 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 9344 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9344 -j ACCEPT
#****運用管理サーバ 選択ポート****
# ノードの自動検出
# MIBしきい値の監視
# ノード状態の表示、DHCPクライアントの監視
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示含む)
/sbin/iptables -A OUTPUT -p udp --dport 161 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 161 -j ACCEPT
# SNMPトラップの監視
/sbin/iptables -A INPUT -p udp --dport 162 -j ACCEPT
# MIBしきい値の監視
/sbin/iptables -A OUTPUT -p tcp --dport 5971 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5971 -j ACCEPT
# インベントリの管理
/sbin/iptables -A OUTPUT -p tcp --dport 9396 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9396 -j ACCEPT
# Systemwalker Webコンソール
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9391 -j ACCEPT
# サーバへの資源配付
/sbin/iptables -A OUTPUT -p tcp --dport 9324 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9324 -j ACCEPT
# クライアントへの資源配付、GUI通信
/sbin/iptables -A INPUT -p tcp --dport 9231 -j ACCEPT
# HTTP通信を用いたサーバへの資源の配付
/sbin/iptables -A OUTPUT -p tcp --dport 9394 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9394 -j ACCEPT
# HTTP通信を用いたクライアントへの資源の配付
/sbin/iptables -A INPUT -p tcp --dport 9393 -j ACCEPT
# HTTPS通信を用いたサーバへの資源の配付
/sbin/iptables -A OUTPUT -p tcp --dport 9398 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9398 -j ACCEPT
# HTTPS通信を用いたクライアントへの資源の配付
/sbin/iptables -A INPUT -p tcp --dport 9399 -j ACCEPT
# 強制配付
/sbin/iptables -A OUTPUT -p tcp --dport 4098 -j ACCEPT
# イベント監視(定義GUI)
/sbin/iptables -A INPUT -p tcp --dport 9345 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9371 -j ACCEPT
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示含む)
/sbin/iptables -A OUTPUT -p tcp --dport 2750 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 2750 -j ACCEPT
# アプリケーションの稼働監視
# アプリケーションの性能監視
# アプリケーションの操作(起動・停止)
/sbin/iptables -A OUTPUT -p tcp --dport 2425 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 2425 -j ACCEPT
# インターネットサーバのセキュリティ監視
/sbin/iptables -A INPUT -p tcp --dport 6963 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 6964 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 6966 -j ACCEPT
# リモートコマンド
/sbin/iptables -A OUTPUT -p udp --dport 9294 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 9294 -j ACCEPT
# 自動アクション
/sbin/iptables -A OUTPUT -p tcp --dport 6961 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9371 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9369 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9370 -j ACCEPT
# ヘルプデスク(サーバ設定)
/sbin/iptables -A INPUT -p tcp --dport 9346 -j ACCEPT
#ヘルプデスク(ヘルプデスククライアントからのDB接続)
/sbin/iptables -A INPUT -p tcp --dport 2088 -j ACCEPT
#****設定の保存・反映****
/etc/init.d/iptables save
/sbin/service iptables restart
■ファイアウォール機能の設定例(部門管理サーバ)
#****全サーバ共通の必須設定****
# 自サーバ内通信の許可、ICMP通信の許可、接続済通信の許可を設定
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT
#****部門管理サーバ 必須ポート****
/sbin/iptables -A OUTPUT -p tcp --dport 9294 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9294 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 5968 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5967 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5968 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 4013 -j ACCEPT
#****部門管理サーバ 選択ポート****
# ノードの自動検出
# MIBしきい値の監視
# ノード状態の表示、DHCPクライアントの監視
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示含む)
/sbin/iptables -A OUTPUT -p udp --dport 161 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 161 -j ACCEPT
# SNMPトラップの監視
/sbin/iptables -A INPUT -p udp --dport 162 -j ACCEPT
# MIBしきい値の監視
/sbin/iptables -A OUTPUT -p tcp --dport 5971 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5971 -j ACCEPT
# サーバへの資源配付
/sbin/iptables -A OUTPUT -p tcp --dport 9324 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9324 -j ACCEPT
# クライアントへの資源配付、GUI通信
/sbin/iptables -A INPUT -p tcp --dport 9231 -j ACCEPT
# HTTP通信を用いたサーバへの資源の配付
/sbin/iptables -A OUTPUT -p tcp --dport 9394 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9394 -j ACCEPT
# HTTP通信を用いたクライアントへの資源の配付
/sbin/iptables -A INPUT -p tcp --dport 9393 -j ACCEPT
# HTTPS通信を用いたサーバへの資源の配付
/sbin/iptables -A OUTPUT -p tcp --dport 9398 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9398 -j ACCEPT
# HTTPS通信を用いたクライアントへの資源の配付
/sbin/iptables -A INPUT -p tcp --dport 9399 -j ACCEPT
# 強制配付
/sbin/iptables -A INPUT -p tcp --dport 4098 -j ACCEPT
# イベント監視(定義GUI)
/sbin/iptables -A INPUT -p tcp --dport 9345 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9371 -j ACCEPT
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示含む)
/sbin/iptables -A OUTPUT -p tcp --dport 2750 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 2750 -j ACCEPT
# アプリケーションの稼働監視
# アプリケーションの性能監視
# アプリケーションの操作(起動・停止)
/sbin/iptables -A OUTPUT -p tcp --dport 2425 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 2425 -j ACCEPT
# インターネットサーバのセキュリティ監視
/sbin/iptables -A INPUT -p tcp --dport 6963 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 6963 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 6964 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 6966 -j ACCEPT
# リモートコマンド
/sbin/iptables -A OUTPUT -p udp --dport 9294 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 9294 -j ACCEPT
# 自動アクション
/sbin/iptables -A OUTPUT -p tcp --dport 6961 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9371 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9369 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9370 -j ACCEPT
#****設定の保存・反映****
/etc/init.d/iptables save
/sbin/service iptables restart
■ファイアウォール機能の設定例(業務サーバ)
#****全サーバ共通の必須設定****
# 自サーバ内通信の許可、ICMP通信の許可、接続済通信の許可を設定
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT
#****業務サーバ 必須ポート****
/sbin/iptables -A OUTPUT -p tcp --dport 9294 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9294 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5967 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5968 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 4013 -j ACCEPT
#****業務サーバ 選択ポート****
# ノードの自動検出
# MIBしきい値の監視
# ノード状態の表示、DHCPクライアントの監視
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示含む)
/sbin/iptables -A OUTPUT -p udp --dport 161 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 161 -j ACCEPT
# SNMPトラップの監視
/sbin/iptables -A OUTPUT -p udp --dport 162 -j ACCEPT
# サーバへの資源配付
/sbin/iptables -A OUTPUT -p tcp --dport 9324 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9324 -j ACCEPT
# クライアントへの資源配付、GUI通信
/sbin/iptables -A INPUT -p tcp --dport 9231 -j ACCEPT
# HTTP通信を用いたサーバへの資源の配付
/sbin/iptables -A OUTPUT -p tcp --dport 9394 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9394 -j ACCEPT
# HTTP通信を用いたクライアントへの資源の配付
/sbin/iptables -A INPUT -p tcp --dport 9393 -j ACCEPT
# HTTPS通信を用いたサーバへの資源の配付
/sbin/iptables -A OUTPUT -p tcp --dport 9398 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9398 -j ACCEPT
# HTTPS通信を用いたクライアントへの資源の配付
/sbin/iptables -A INPUT -p tcp --dport 9399 -j ACCEPT
# 強制配付
/sbin/iptables -A INPUT -p tcp --dport 4098 -j ACCEPT
# イベント監視(定義GUI)
/sbin/iptables -A INPUT -p tcp --dport 9345 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9371 -j ACCEPT
# アプリケーションの稼働監視
# アプリケーションの性能監視
# アプリケーションの操作(起動・停止)
/sbin/iptables -A OUTPUT -p tcp --dport 2425 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 2425 -j ACCEPT
# インターネットサーバのセキュリティ監視
/sbin/iptables -A OUTPUT -p tcp --dport 6963 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 6964 -j ACCEPT
# リモートコマンド
/sbin/iptables -A OUTPUT -p udp --dport 9294 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 9294 -j ACCEPT
# 自動アクション
/sbin/iptables -A OUTPUT -p tcp --dport 6961 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9371 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9369 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 9370 -j ACCEPT
#****設定の保存・反映****
/etc/init.d/iptables save
/sbin/service iptables restart
All Rights Reserved, Copyright (C) 富士通株式会社 1995-2004