Red Hat Enterprise Linuxでは、標準インストール時にOSのファイアウォール機能が有効となっているため、そのままの設定ではSystemwalker Centric Managerの機能が使用できません。
LinuxサーバにSystemwalker Centric Managerをインストールする場合は、以下のどちらかの対応が必要です。
ファイアウォール機能に対して必要な通信を許可する
ファイアウォール機能を無効とする
“ファイアウォール機能を無効とする”より、“ファイアウォール機能に対して必要な通信を許可する”方が、安全な環境とすることができます。
ここに記載されているファイアウォール設定のコマンドは、ファイアウォール設定を以下の条件で行っている環境で有効な例です。
ノードに入ってくるパケットを INPUT チェインでのみ制御している
ノードから出ていくパケットを OUTPUT チェインでのみ制御している
上記条件に合わない環境で設定を行う場合は、対象チェインやターゲット(ACCEPTやDROPなど)の指定変更、設定の追加などが必要となります。Linuxサーバのファイアウォール機能については、Linuxのマニュアル等も参照してください。
ファイアウォール機能に対して必要な通信設定を行う場合
ファイアウォール機能を利用して、必要な通信だけを許可する場合は、以下の設定を行います。
自サーバ内で使用する通信を許可します。
[IPv4]
# /sbin/iptables -I INPUT -i lo -j ACCEPT |
[IPv6]
# /sbin/ip6tables -I INPUT -i lo -j ACCEPT |
自サーバ内での通信を使用する機能は以下のとおりです。
性能異常の監視/性能情報の表示
【運用管理サーバ自身も監視対象とする場合】
ノードの自動検出
稼働状態の監視
MIB情報の監視
ICMP通信を許可します。
[IPv4]
# /sbin/iptables -I INPUT -p icmp -j ACCEPT |
[IPv6]
# /sbin/ip6tables -I INPUT -p ipv6-icmp -j ACCEPT |
ICMP通信を使用する機能は以下のとおりです。
ノードの自動検出
稼働状態の監視
ポリシーの配付
接続済みの通信を許可します。
運用管理サーバに接続してきたコンピュータに対して、同じ経路を使用して応答できるようにします。
[IPv4]
# /sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT |
[IPv6]
# /sbin/ip6tables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT |
udp通信のポート(161/udpや9294/udp)を許可する場合は、udp通信について、接続済みの通信を許可します。
[IPv4]
# /sbin/iptables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT |
[IPv6]
# /sbin/ip6tables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT |
特定の通信を許可します。
“必須のポート設定”および“使用する機能により必要なポート設定”を参照して、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。
※ 送信、受信ともにすべて、 --sportオプションではなく、--dportオプションを指定して設定します。
送信ポートの通信を許可する場合
[IPv4]
# /sbin/iptables -I OUTPUT -p プロトコル --dport ポート番号 -j ACCEPT |
[IPv6]
# /sbin/ip6tables -I OUTPUT -p プロトコル --dport ポート番号 -j ACCEPT |
例) 送信ポート9294/tcpの通信を許可する場合
[IPv4]
# /sbin/iptables -I OUTPUT -p tcp --dport 9294 -j ACCEPT |
[IPv6]
# /sbin/ip6tables -I OUTPUT -p tcp --dport 9294 -j ACCEPT |
受信ポートの通信を許可する場合
[IPv4]
# /sbin/iptables -I INPUT -p プロトコル --dport ポート番号 -j ACCEPT |
[IPv6]
# /sbin/ip6tables -I INPUT -p プロトコル --dport ポート番号 -j ACCEPT |
例) 受信ポート162/udpの通信を許可する場合
[IPv4]
# /sbin/iptables -I INPUT -p udp --dport 162 -j ACCEPT |
[IPv6]
# /sbin/ip6tables -I INPUT -p udp --dport 162 -j ACCEPT |
[Systemwalker Webコンソール]で性能監視(ノード中心マップ/ペアノード経路マップの表示)を使用する場合は、運用管理サーバで、ブラウザで接続するクライアントからのtcp接続を許可します。
[IPv4]
# /sbin/iptables -I INPUT -p tcp -s クライアントのIPアドレス -j ACCEPT |
[IPv6]
# /sbin/ip6tables -I INPUT -p tcp -s クライアントのIPアドレス -j ACCEPT |
例1) クライアント(192.168.0.1)からのtcp接続を許可する場合
# /sbin/iptables -I INPUT -p tcp -s 192.168.0.1 -j ACCEPT |
例2) クライアント(fd00:1000::1)からのtcp接続を許可する場合
# /sbin/ip6tables -I INPUT -p tcp -s fd00:1000::1 -j ACCEPT |
設定の保存と反映を行います。設定はすぐにシステムに反映され、システム再起動後も有効になります。
[IPv4]
# /etc/init.d/iptables save |
[IPv6]
# /etc/init.d/ip6tables save |
設定が反映されていることを、以下のコマンドで確認します。
[IPv4]
# /sbin/iptables -L |
[IPv6]
# /sbin/ip6tables -L |
“必須のポート設定”および“使用する機能により必要なポート設定”を参照して、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。
ファイアウォール機能を無効とする場合
ファイアウォール機能を無効とする場合は、以下の設定を行います。
現在のファイアウォールの設定を消去します。
[IPv4]
# /sbin/iptables -F |
[IPv6]
# /sbin/ip6tables -F |
すべての送受信を許可します
[IPv4]
# /sbin/iptables -P INPUT ACCEPT |
[IPv6]
# /sbin/ip6tables -P INPUT ACCEPT |
設定の保存と反映を行います。設定はすぐにシステムに反映され、システム再起動後も有効になります。
[IPv4]
# /etc/init.d/iptables save |
[IPv6]
# /etc/init.d/ip6tables save |
