部門管理サーバ、業務サーバのファイアウォール機能の設定例を以下に示します。
ここに記載されているファイアウォール設定のコマンドは、ファイアウォール設定を以下の条件で行っている環境で有効な例です。
ノードに入ってくるパケットを INPUT チェインでのみ制御している
ノードから出ていくパケットを OUTPUT チェインでのみ制御している
上記条件に合わない環境で設定を行う場合は、対象チェインやターゲット(ACCEPTやDROPなど)の指定変更、設定の追加などが必要となります。Linuxサーバのファイアウォール機能については、Linuxのマニュアル等も参照してください。
ファイアウォール機能の設定例(部門管理サーバ)
[IPv4]
#****全サーバ共通の必須設定**** # 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定 /sbin/iptables -I OUTPUT -o lo -j ACCEPT /sbin/iptables -I INPUT -i lo -j ACCEPT /sbin/iptables -I OUTPUT -p icmp -j ACCEPT /sbin/iptables -I INPUT -p icmp -j ACCEPT /sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT #****部門管理サーバ 必須ポート**** /sbin/iptables -I OUTPUT -p tcp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9294 -j ACCEPT /sbin/iptables -I OUTPUT -p tcp --dport 5968 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5967 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5968 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 4013 -j ACCEPT #****部門管理サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の監視、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/iptables -I OUTPUT -p udp --dport 161 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 161 -j ACCEPT # SNMPトラップの監視 /sbin/iptables -I OUTPUT -p udp --dport 162 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 162 -j ACCEPT # SNMPトラップの監視(Linux for Itanium版の場合) /sbin/iptables -I OUTPUT -p udp --dport 5972 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 5972 -j ACCEPT # MIBしきい値の監視 /sbin/iptables -I OUTPUT -p tcp --dport 5971 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5971 -j ACCEPT # サーバへの資源配付 /sbin/iptables -I OUTPUT -p tcp --dport 9324 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9324 -j ACCEPT # クライアントへの資源配付、GUI通信 /sbin/iptables -I INPUT -p tcp --dport 9231 -j ACCEPT # HTTP通信を用いたサーバへの資源の配付 /sbin/iptables -I OUTPUT -p tcp --dport 9394 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9394 -j ACCEPT # HTTP通信を用いたクライアントへの資源の配付 /sbin/iptables -I INPUT -p tcp --dport 9393 -j ACCEPT # HTTPS通信を用いたサーバへの資源の配付 /sbin/iptables -I OUTPUT -p tcp --dport 9398 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9398 -j ACCEPT # HTTPS通信を用いたクライアントへの資源の配付 /sbin/iptables -I INPUT -p tcp --dport 9399 -j ACCEPT # 強制配付 /sbin/iptables -I INPUT -p tcp --dport 4098 -j ACCEPT # イベント監視(定義GUI) /sbin/iptables -I INPUT -p tcp --dport 9345 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9371 -j ACCEPT # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/iptables -I OUTPUT -p tcp --dport 2750 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 2750 -j ACCEPT # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /sbin/iptables -I OUTPUT -p tcp --dport 2425 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 2425 -j ACCEPT # リモートコマンド /sbin/iptables -I OUTPUT -p udp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 9294 -j ACCEPT # サーバの電源投入・切断 /sbin/iptables -I INPUT -p tcp --dport 9373 -j ACCEPT # Linux for Itanium版のサーバの電源投入・切断 /sbin/iptables -I INPUT -p udp --dport 1952 -j ACCEPT # 自動アクション /sbin/iptables -I OUTPUT -p tcp --dport 6961 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9371 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9369 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9370 -j ACCEPT # 監査ログ管理 # インベントリ情報の通知 # 修正の配付 /sbin/iptables -I OUTPUT -p tcp --dport 1105 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 1105 -j ACCEPT #****設定の保存・反映**** /etc/init.d/iptables save /sbin/service iptables restart
[IPv6]
#****全サーバ共通の必須設定**** # 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定 /sbin/ip6tables -I OUTPUT -o lo -j ACCEPT /sbin/ip6tables -I INPUT -i lo -j ACCEPT /sbin/ip6tables -I OUTPUT -p ipv6-icmp -j ACCEPT /sbin/ip6tables -I INPUT -p ipv6-icmp -j ACCEPT /sbin/ip6tables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT #****部門管理サーバ 必須ポート**** /sbin/ip6tables -I OUTPUT -p tcp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9294 -j ACCEPT /sbin/ip6tables -I OUTPUT -p tcp --dport 5968 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5967 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5968 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 4013 -j ACCEPT #****部門管理サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の監視、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/ip6tables -I OUTPUT -p udp --dport 161 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 161 -j ACCEPT # SNMPトラップの監視 /sbin/ip6tables -I OUTPUT -p udp --dport 162 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 162 -j ACCEPT # SNMPトラップの監視(Linux for Itanium版の場合) /sbin/ip6tables -I OUTPUT -p udp --dport 5972 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 5972 -j ACCEPT # MIBしきい値の監視 /sbin/ip6tables -I OUTPUT -p tcp --dport 5971 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5971 -j ACCEPT # サーバへの資源配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9324 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9324 -j ACCEPT # クライアントへの資源配付、GUI通信 /sbin/ip6tables -I INPUT -p tcp --dport 9231 -j ACCEPT # HTTP通信を用いたサーバへの資源の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9394 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9394 -j ACCEPT # HTTP通信を用いたクライアントへの資源の配付 /sbin/ip6tables -I INPUT -p tcp --dport 9393 -j ACCEPT # HTTPS通信を用いたサーバへの資源の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9398 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9398 -j ACCEPT # HTTPS通信を用いたクライアントへの資源の配付 /sbin/ip6tables -I INPUT -p tcp --dport 9399 -j ACCEPT # 強制配付 /sbin/ip6tables -I INPUT -p tcp --dport 4098 -j ACCEPT # イベント監視(定義GUI) /sbin/ip6tables -I INPUT -p tcp --dport 9345 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9371 -j ACCEPT # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/ip6tables -I OUTPUT -p tcp --dport 2750 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 2750 -j ACCEPT # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /sbin/ip6tables -I OUTPUT -p tcp --dport 2425 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 2425 -j ACCEPT # リモートコマンド /sbin/ip6tables -I OUTPUT -p udp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 9294 -j ACCEPT # サーバの電源投入・切断 /sbin/ip6tables -I INPUT -p tcp --dport 9373 -j ACCEPT # Linux for Itanium版のサーバの電源投入・切断 /sbin/ip6tables -I INPUT -p udp --dport 1952 -j ACCEPT # 自動アクション /sbin/ip6tables -I OUTPUT -p tcp --dport 6961 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9371 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9369 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9370 -j ACCEPT # 監査ログ管理 # インベントリ情報の通知 # 修正の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 1105 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 1105 -j ACCEPT #****設定の保存・反映**** /etc/init.d/ip6tables save /sbin/service ip6tables restart
ファイアウォール機能の設定例(業務サーバ)
[IPv4]
#****全サーバ共通の必須設定**** # 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定 /sbin/iptables -I OUTPUT -o lo -j ACCEPT /sbin/iptables -I INPUT -i lo -j ACCEPT /sbin/iptables -I OUTPUT -p icmp -j ACCEPT /sbin/iptables -I INPUT -p icmp -j ACCEPT /sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT #****業務サーバ 必須ポート**** /sbin/iptables -I OUTPUT -p tcp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5967 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5968 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 4013 -j ACCEPT #****業務サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の表示、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/iptables -I OUTPUT -p udp --dport 161 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 161 -j ACCEPT # SNMPトラップの監視 /sbin/iptables -I OUTPUT -p udp --dport 162 -j ACCEPT # サーバへの資源配付 /sbin/iptables -I OUTPUT -p tcp --dport 9324 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9324 -j ACCEPT # クライアントへの資源配付、GUI通信 /sbin/iptables -I INPUT -p tcp --dport 9231 -j ACCEPT # HTTP通信を用いたサーバへの資源の配付 /sbin/iptables -I OUTPUT -p tcp --dport 9394 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9394 -j ACCEPT # HTTP通信を用いたクライアントへの資源の配付 /sbin/iptables -I INPUT -p tcp --dport 9393 -j ACCEPT # HTTPS通信を用いたサーバへの資源の配付 /sbin/iptables -I OUTPUT -p tcp --dport 9398 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9398 -j ACCEPT # HTTPS通信を用いたクライアントへの資源の配付 /sbin/iptables -I INPUT -p tcp --dport 9399 -j ACCEPT # 強制配付 /sbin/iptables -I INPUT -p tcp --dport 4098 -j ACCEPT # イベント監視(定義GUI) /sbin/iptables -I INPUT -p tcp --dport 9345 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9371 -j ACCEPT # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /sbin/iptables -I OUTPUT -p tcp --dport 2425 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 2425 -j ACCEPT # リモートコマンド /sbin/iptables -I OUTPUT -p udp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 9294 -j ACCEPT # サーバの電源投入・切断 /sbin/iptables -I INPUT -p tcp --dport 9373 -j ACCEPT # Linux for Itanium版のサーバの電源投入・切断 /sbin/iptables -I INPUT -p udp --dport 1952 -j ACCEPT # 自動アクション /sbin/iptables -I OUTPUT -p tcp --dport 6961 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9371 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9369 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9370 -j ACCEPT # 監査ログ管理 # 修正の配付 /sbin/iptables -I OUTPUT -p tcp --dport 1105 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 1105 -j ACCEPT #****設定の保存・反映**** /etc/init.d/iptables save /sbin/service iptables restart
[IPv6]
#****全サーバ共通の必須設定**** # 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定 /sbin/ip6tables -I OUTPUT -o lo -j ACCEPT /sbin/ip6tables -I INPUT -i lo -j ACCEPT /sbin/ip6tables -I OUTPUT -p ipv6-icmp -j ACCEPT /sbin/ip6tables -I INPUT -p ipv6-icmp -j ACCEPT /sbin/ip6tables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT #****業務サーバ 必須ポート**** /sbin/ip6tables -I OUTPUT -p tcp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5967 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5968 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 4013 -j ACCEPT #****業務サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の表示、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/ip6tables -I OUTPUT -p udp --dport 161 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 161 -j ACCEPT # SNMPトラップの監視 /sbin/ip6tables -I OUTPUT -p udp --dport 162 -j ACCEPT # サーバへの資源配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9324 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9324 -j ACCEPT # クライアントへの資源配付、GUI通信 /sbin/ip6tables -I INPUT -p tcp --dport 9231 -j ACCEPT # HTTP通信を用いたサーバへの資源の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9394 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9394 -j ACCEPT # HTTP通信を用いたクライアントへの資源の配付 /sbin/ip6tables -I INPUT -p tcp --dport 9393 -j ACCEPT # HTTPS通信を用いたサーバへの資源の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9398 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9398 -j ACCEPT # HTTPS通信を用いたクライアントへの資源の配付 /sbin/ip6tables -I INPUT -p tcp --dport 9399 -j ACCEPT # 強制配付 /sbin/ip6tables -I INPUT -p tcp --dport 4098 -j ACCEPT # イベント監視(定義GUI) /sbin/ip6tables -I INPUT -p tcp --dport 9345 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9371 -j ACCEPT # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /sbin/ip6tables -I OUTPUT -p tcp --dport 2425 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 2425 -j ACCEPT # リモートコマンド /sbin/ip6tables -I OUTPUT -p udp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 9294 -j ACCEPT # サーバの電源投入・切断 /sbin/ip6tables -I INPUT -p tcp --dport 9373 -j ACCEPT # Linux for Itanium版のサーバの電源投入・切断 /sbin/ip6tables -I INPUT -p udp --dport 1952 -j ACCEPT # 自動アクション /sbin/ip6tables -I OUTPUT -p tcp --dport 6961 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9371 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9369 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9370 -j ACCEPT # 監査ログ管理 # 修正の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 1105 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 1105 -j ACCEPT #****設定の保存・反映**** /etc/init.d/ip6tables save /sbin/service ip6tables restart