Systemwalker Centric Manager 導入手引書 - UNIX/Windows(R)共通 -

目次 索引

4.8 Solarisサーバでファイアウォールの設定

Solaris 10では、標準でIP Filterというファイアウォール機能がインストールされており、設定次第で有効にすることができます。Solaris 10のファイアウォール機能を利用している環境にSystemwalker Centric Managerをインストールする場合には、以下のどちらかの対応が必要です。

• ファイアウォール機能に対して必要な通信を許可する
• ファイアウォール機能を無効とする

ファイアウォール機能が有効になっているか確認する

Solaris 10でファイアウォール機能が有効になっているかどうかは、以下のコマンドなどで確認できます。
詳細は、Solaris 10のマニュアルを参照してください。

# /usr/bin/svcs -a
STATE          STIME    FMRI
legacy_run     Mar_08   lrc:/etc/rcS_d/S29wrsmcfg
legacy_run     Mar_08   lrc:/etc/rc2_d/S10lu
legacy_run     Mar_08   lrc:/etc/rc2_d/S20sysetup
legacy_run     Mar_08   lrc:/etc/rc2_d/S40llc2
・・・
online         17:06:23 svc:/network/ipfilter:default
・・・
 ※ “svc:/network/ipfilter:default”エントリがonlineになっている場合に有効

ファイアウォール機能により、どの通信が制限されているかを確認するには、以下のコマンドなどで確認可能です。
詳細は、Solaris 10のマニュアルを参照してください。

# /usr/sbin/ipfstat -io
pass out quick on lo0 all
block out log quick on hme0 from any to any port = 80
pass in quick on lo0 all
block in log quick on hme0 from any to any port = 80

■ファイアウォール機能に対して必要な通信設定を行う場合

Solaris 10標準のファイアウォールの設定を変更し、必要な通信だけを許可する設定を行う場合は、以下の手順に従って操作してください。

本手順は、一般的な設定を記載しています。導入している環境により、設定内容を修正してください。

1. 自サーバ内で使用する通信を許可します。

   この例では、ループバックデバイス(lo0)と通信用のインタフェース(hme0)とします。ネットワーク性能を低下させないため、できるだけファイルの先頭に記載します。
   ループバックデバイスからパケットを受信する場合、およびループバックデバイスへパケットを送信する場合の通信を許可します。“lo0”は、ループバックデバイス名です。確認は、ifconfig(1M)を参照してください。

   pass out quick on lo0 all pass in quick on lo0 all

   自サーバ内での通信を使用する機能は以下のとおりです。

   • 性能異常の監視/性能情報の表示

   【部門管理サーバで自身も監視対象とする場合】

   • ノードの自動検出
   • 稼働状態の監視
   • MIB情報の監視
2. ICMP通信を許可します。

   pass in log proto icmp from any to any keep state pass out log proto icmp from any to any keep state

   ICMP通信を使用する機能は以下のとおりです。

   • ノードの自動検出
   • 稼働状態の監視
   • ポリシーの配付
3. 特定の通信を許可します。

   “必須のポート設定”および“使用する機能により必要なポート設定”を参照して、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。

   • 送信ポートの通信を許可する場合

     pass out quick on hme0 proto プロトコル from any to any port = ポート番号 keep state

     
     

     例) 送信ポート9294/tcpの通信を許可する場合

     pass out quick on hme0 proto tcp from any to any port = 9294 keep state

     
     

   • 受信ポートの通信を許可する場合

     pass in quick on hme0 proto プロトコル from any to any port = ポート番号 keep state

     例) 受信ポート162/udpの通信を許可する場合

     pass in quick on hme0 proto udp from any to any port = 162 keep state

     
     

4. 許可した以外のポートを拒否するための設定をします。

   拒否したポートについては、ipmon(1M)で確認できるようにロギングします。

   block in log on hme0 from any to any block out log on hme0 from any to any

   
   

5. ファイアウォールの設定を有効にします。

   ファイアウォールの設定を有効にするには、以下のコマンドを実行します。

   # /usr/sbin/ipf -Fa -E -f /etc/ipf/ipf.conf

   
   

6. 設定が反映されていることを確認します。

   設定が反映されていることを確認するには、以下のコマンドを実行します。

   # /usr/sbin/ipfstat -io pass out quick on lo0 all pass out log quick on hme0 proto tcp from any to any port = telnet keep state pass out quick on hme0 proto tcp/udp from any to any port = uxpopagt pass out log proto icmp from any to any keep state block out log quick on hme0 all pass in quick on lo0 all pass in log quick on hme0 proto tcp from any to any port = telnet keep state pass in quick on hme0 proto tcp/udp from any to any port = uxpopagt pass in quick on hme0 proto tcp from any to any port = 8002 keep state pass in log proto icmp from any to any keep state block in log quick on hme0 all

■ファイアウォール機能を無効とする場合

サーバの外部などでファイアウォールが存在し、Solaris 10に標準で添付されているファイアウォールを使用しなくてもセキュリティが確保できる場合は、ファイアウォール機能自身を無効化することができます。

その場合は、以下の手順を実施します。

なお、次回リブート時にも恒久的に無効化したい場合は、上記の手順に加え、以下のファイルも削除してください。

• /etc/ipf/ipf.conf
• /etc/ipf/pfil.ap

上記ファイルについては、削除(コマンドでは“rm(1)”)ではなく、リネーム(コマンドでは“mv(1)”)により、別名で保存することをお勧めします。
上記ファイルを削除、またはリネームした後は、リブートを行い、ファイアウォールの設定が無効になっていることをipfstat(1M)で確認してください。

4.8.1 必須のポート設定

4.8.2 使用する機能により必要なポート設定

4.8.3 ファイアウォール機能の設定例

目次 索引