Solaris 10およびSolaris 11では、標準でIP Filterというファイアウォール機能がインストールされており、設定次第で有効にすることができます。Solaris 10およびSolaris 11のファイアウォール機能を利用している環境にSystemwalker IT Change Managerをインストールする場合には、以下のどちらかの対応が必要です。
ファイアウォール機能に対して必要な通信を許可する
ファイアウォール機能を無効とする
注意
本作業は、システム上でスーパーユーザーになってから行ってください。
ファイアウォール機能が有効になっているか確認する
Solaris 10およびSolaris 11でファイアウォール機能が有効になっているかどうかは、以下のコマンドなどで確認できます。
詳細は、Solaris 10およびSolaris 11のマニュアルを参照してください。
# /usr/bin/svcs -a STATE STIME FMRI legacy_run Mar_08 lrc:/etc/rcS_d/S29wrsmcfg legacy_run Mar_08 lrc:/etc/rc2_d/S10lu legacy_run Mar_08 lrc:/etc/rc2_d/S20sysetup legacy_run Mar_08 lrc:/etc/rc2_d/S40llc2 ・・・ online 17:06:23 svc:/network/ipfilter:default (*)
・・・
*:"svc:/network/ipfilter:default"エントリがonlineになっている場合に有効
ファイアウォール機能により、どの通信が制限されているかを確認するには、以下のコマンドなどで確認可能です。
詳細は、Solaris 10およびSolaris 11のマニュアルを参照してください。
# /usr/sbin/ipfstat -io |
ファイアウォール機能に対して必要な通信設定を行う場合
Solaris 10およびSolaris 11標準のファイアウォールの設定を変更し、必要な通信のみを許可する設定を行う場合は、以下の手順に従ってください。
注意
本手順は、一般的な設定を記載しています。導入している環境により、設定内容を修正してください。
IP Filterを利用してフィルタリングするネットワークインタフェースを有効にします。
ネットワークインタフェースを有効にするには、ファイル/etc/ipf/pfil.apをテキストエディタで開き、有効化するネットワークインタフェースに付けられたコメントを削除します。有効化するネットワークインタフェースが記述されていない場合は、追加します。
例:ネットワークインタフェースhme0を有効化する場合
--------------------------------------------------- #le -1 0 pfil #qe -1 0 pfil #hme -1 0 pfil ---> この箇所の「#」を削除 #qfe -1 0 pfil ---------------------------------------------------
/etc/ipf/pfil.apに対する変更を有効化するため、システムを再起動します。
# /usr/sbin/shutdown -y -g0 -i6 |
IP Filterの起動を確認します。
# svcs -a |
IP Filterが起動している場合は、"ipfilter"が"online"と出力されます。
online 18:20:29 svc:/network/ipfilter:default |
IP Filterが起動していない場合は、以下のコマンドを実行してIP Filterを起動します。
# svcadm enable ipfilter |
フィルタリングルールを設定します。
フィルタリングルールを設定するには、ファイル/etc/ipf/ipf.confをテキストエディタで開き、以下の項目を設定します。
自サーバ内通信の許可
この例では、ループバックデバイス(lo0)と通信用のインタフェース(hme0)とします。ネットワーク性能を低下させないため、できるだけファイルの先頭に記載します。
ループバックデバイスからパケットを受信する場合、およびループバックデバイスへパケットを送信する場合の通信を許可します。"lo0"は、ループバックデバイス名です。確認は、ifconfig(1M)を参照してください。
pass in quick on lo0 all |
すべての通信を拒否する設定
初めにすべての通信を拒否してから、使用するポートの設定を行います。
block in log on hme0 all |
Systemwalker IT Change Managerで使用するポートの許可
Systemwalker IT Change Managerが使用する以下のポートに通信を許可します。
機能 | 使用ポート番号/プロトコル |
|---|---|
運用管理API-ワークフロー制御サーバ間通信用 | 9990/tcp |
LDAP接続用 | 389/tcp |
Webサーバ(Interstage HTTP Server) | 80/tcp (初期値) |
Interstage管理コンソール用 | 12000/tcp (初期値) |
pass in quick on hme0 proto tcp from any to any port = 9990 keep state |
Systemwalker IT Change Managerが使用するポートについては、“Systemwalker IT Change Manager リファレンスガイド”の“ポート一覧”を参照してください。
必要であれば、その他に使用するポートの許可
例えば、telnetが使用するポート番号に通信を許可します。
pass in quick on hme0 proto tcp from any to any port = 23 keep state |
IP Filterの設定を有効にします。
IP Filterの設定を有効にするには、以下のコマンドを実行します。
# /usr/sbin/ipf -Fa -E -f /etc/ipf/ipf.conf |
有効化したIP Filterのフィルタリングルールを確認します。
有効化したIP Filterのフィルタリングルールを確認するには、以下のコマンドを実行します。
# /usr/sbin/ipfstat -io |
ファイアウォール機能を無効とする場合
サーバの外部などでファイアウォールが存在し、Solaris 10およびSolaris 11に標準で添付されているファイアウォールを使用しなくてもセキュリティが確保できる場合は、ファイアウォール機能自身を無効化することができます。
その場合は、以下の手順を実施します。
# /usr/sbin/ipf -Fa |
なお、次回以降のシステム起動時にも恒久的に無効化したい場合は、上記の手順に加え、以下のファイルも削除してください。
/etc/ipf/ipf.conf
/etc/ipf/pfil.ap
上記ファイルについては、削除(コマンドでは"rm(1)")ではなく、リネーム(コマンドでは"mv(1)")により、別名で保存することをお勧めします。
上記ファイルを削除、またはリネームした後は、リブートを行い、ファイアウォールの設定が無効になっていることをipfstat(1M)で確認してください。
