ページの先頭行へ戻る
Systemwalker Centric Manager 導入手引書
Systemwalker

3.11 Linuxサーバでファイアウォールの設定

Red Hat Enterprise Linuxでは、標準インストール時にOSのファイアウォール機能が有効となっているため、そのままの設定ではSystemwalker Centric Managerの機能が使用できません。

LinuxサーバにSystemwalker Centric Managerをインストールする場合は、以下のどちらかの対応が必要です。

“ファイアウォール機能を無効とする”より、“ファイアウォール機能に対して必要な通信を許可する”方が、安全な環境とすることができます。

ここに記載されているファイアウォール設定のコマンドは、ファイアウォール設定を以下の条件で行っている環境で有効な例です。

上記条件に合わない環境で設定を行う場合は、対象チェインやターゲット(ACCEPTやDROPなど)の指定変更、設定の追加などが必要となります。Linuxサーバのファイアウォール機能については、Linuxのマニュアル等も参照してください。

ファイアウォール機能に対して必要な通信設定を行う場合

ファイアウォール機能を利用して、必要な通信だけを許可する場合は、以下の設定を行います。

  1. 自サーバ内で使用する通信を許可します。

    [IPv4]

    # /sbin/iptables -I INPUT -i lo -j ACCEPT
    # /sbin/iptables -I OUTPUT -o lo -j ACCEPT

    [IPv6]

    # /sbin/ip6tables -I INPUT -i lo -j ACCEPT
    # /sbin/ip6tables -I OUTPUT -o lo -j ACCEPT

    自サーバ内での通信を使用する機能は以下のとおりです。

    • 性能異常の監視/性能情報の表示

    【運用管理サーバ自身も監視対象とする場合】

    • ノードの自動検出

    • 稼働状態の監視

    • MIB情報の監視

  2. ICMP通信を許可します。

    [IPv4]

    # /sbin/iptables -I INPUT -p icmp -j ACCEPT
    # /sbin/iptables -I OUTPUT -p icmp -j ACCEPT

    [IPv6]

    # /sbin/ip6tables -I INPUT -p ipv6-icmp -j ACCEPT
    # /sbin/ip6tables -I OUTPUT -p ipv6-icmp -j ACCEPT

    ICMP通信を使用する機能は以下のとおりです。

    • ノードの自動検出

    • 稼働状態の監視

    • ポリシーの配付

  3. 接続済みの通信を許可します。
    運用管理サーバに接続してきたコンピュータに対して、同じ経路を使用して応答できるようにします。

    [IPv4]

    # /sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
    # /sbin/iptables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

    [IPv6]

    # /sbin/ip6tables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
    # /sbin/ip6tables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

    udp通信のポート(161/udpや9294/udp)を許可する場合は、udp通信について、接続済みの通信を許可します。

    [IPv4]

    # /sbin/iptables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
    # /sbin/iptables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT

    [IPv6]

    # /sbin/ip6tables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
    # /sbin/ip6tables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT

  4. 特定の通信を許可します。

    必須のート設定”および“使用する機能により必要なポート設定”を参照して、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。

    ※ 送信、受信ともにすべて、 --sportオプションではなく、--dportオプションを指定して設定します。

    • 送信ポートの通信を許可する場合

      [IPv4]

      # /sbin/iptables -I OUTPUT -p プロトコル --dport ポート番号 -j ACCEPT

      [IPv6]

      # /sbin/ip6tables -I OUTPUT -p プロトコル --dport ポート番号 -j ACCEPT

      例) 送信ポート9294/tcpの通信を許可する場合

      [IPv4]

      # /sbin/iptables -I OUTPUT -p tcp --dport 9294 -j ACCEPT

      [IPv6]

      # /sbin/ip6tables -I OUTPUT -p tcp --dport 9294 -j ACCEPT

    • 受信ポートの通信を許可する場合

      [IPv4]

      # /sbin/iptables -I INPUT -p プロトコル --dport ポート番号 -j ACCEPT

      [IPv6]

      # /sbin/ip6tables -I INPUT -p プロトコル --dport ポート番号 -j ACCEPT

      例) 受信ポート162/udpの通信を許可する場合

      [IPv4]

      # /sbin/iptables -I INPUT -p udp --dport 162 -j ACCEPT

      [IPv6]

      # /sbin/ip6tables -I INPUT -p udp --dport 162 -j ACCEPT

  5. [Systemwalker Webコンソール]で性能監視(ノード中心マップ/ペアノード経路マップの表示)を使用する場合は、運用管理サーバで、ブラウザで接続するクライアントからのtcp接続を許可します。

    [IPv4]

    # /sbin/iptables -I INPUT -p tcp -s クライアントのIPアドレス -j ACCEPT

    [IPv6]

    # /sbin/ip6tables -I INPUT -p tcp -s クライアントのIPアドレス -j ACCEPT


    例1) クライアント(192.168.0.1)からのtcp接続を許可する場合

    # /sbin/iptables -I INPUT -p tcp -s 192.168.0.1 -j ACCEPT

    例2) クライアント(fd00:1000::1)からのtcp接続を許可する場合

    # /sbin/ip6tables -I INPUT -p tcp -s fd00:1000::1 -j ACCEPT

  6. 設定の保存と反映を行います。設定はすぐにシステムに反映され、システム再起動後も有効になります。

    [IPv4]

    # /etc/init.d/iptables save
    # /sbin/service iptables restart

    [IPv6]

    # /etc/init.d/ip6tables save
    # /sbin/service ip6tables restart

  7. 設定が反映されていることを、以下のコマンドで確認します。

    [IPv4]

    # /sbin/iptables -L

    [IPv6]

    # /sbin/ip6tables -L

必須のポー”および“使用する機能により必要なポート設定”を参照して、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。

ファイアウォール機能を無効とする場合

ファイアウォール機能を無効とする場合は、以下の設定を行います。

  1. 現在のファイアウォールの設定を消去します。

    [IPv4]

    # /sbin/iptables -F

    [IPv6]

    # /sbin/ip6tables -F

  2. すべての送受信を許可します

    [IPv4]

    # /sbin/iptables -P INPUT ACCEPT
    # /sbin/iptables -P OUTPUT ACCEPT

    [IPv6]

    # /sbin/ip6tables -P INPUT ACCEPT
    # /sbin/ip6tables -P OUTPUT ACCEPT

  3. 設定の保存と反映を行います。設定はすぐにシステムに反映され、システム再起動後も有効になります。

    [IPv4]

    # /etc/init.d/iptables save
    # /sbin/service iptables restart

    [IPv6]

    # /etc/init.d/ip6tables save
    # /sbin/service ip6tables restart