部門管理サーバ、業務サーバのファイアウォール機能の設定例を以下に示します。
ここに記載されているファイアウォール設定のコマンドは、ファイアウォール設定を以下の条件で行う環境で有効な例です。
firewalldサービスを使用する場合【Red Hat Enterprise Linux 7以降】
iptablesサービスを使用する場合
ノードに入ってくるパケットを INPUTチェインでのみ制御している
ノードから出ていくパケットを OUTPUTチェインでのみ制御している
上記条件に合わない環境で設定を行う場合は、対象チェインやターゲット(ACCEPTやDROPなど)の指定変更、設定の追加などが必要となります。ファイアウォール機能の詳細については、OSのマニュアルを参照してください。
上記以外でファイアウォール設定を行っている場合は、各ファイアウォール機能のマニュアルを参照してください。
ファイアウォール機能の設定例(部門管理サーバ)
firewalldサービスを使用する場合【Red Hat Enterprise Linux 7以降】
#****全サーバ共通の必須設定**** # iptablesサービスの無効化・停止 # IPv4の場合 /usr/bin/systemctl disable iptables.service /usr/bin/systemctl stop iptables.service # IPv6の場合 /usr/bin/systemctl disable ip6tables.service /usr/bin/systemctl stop ip6tables.service # firewalldサービスの有効化・起動 /usr/bin/systemctl enable firewalld.service /usr/bin/systemctl start firewalld.service # ネットワークインタフェースの追加 /usr/bin/firewall-cmd --permanent --zone=public --add-interface=eth0 #****部門管理サーバ 必須ポート**** /usr/bin/firewall-cmd --permanent --zone=public --add-port=9294/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=5968/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=5967/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=4013/tcp #****部門管理サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の監視、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /usr/bin/firewall-cmd --permanent --zone=public --add-port=161/udp # SNMPトラップの監視 /usr/bin/firewall-cmd --permanent --zone=public --add-port=162/udp # SNMPトラップの監視(Linux for Itanium版の場合) /usr/bin/firewall-cmd --permanent --zone=public --add-port=5972/udp # MIBしきい値の監視 /usr/bin/firewall-cmd --permanent --zone=public --add-port=5971/tcp # サーバへの資源配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9324/tcp # クライアントへの資源配付、GUI通信 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9231/tcp # HTTP通信を用いたサーバへの資源の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9394/tcp # HTTP通信を用いたクライアントへの資源の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9393/tcp # HTTPS通信を用いたサーバへの資源の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9398/tcp # HTTPS通信を用いたクライアントへの資源の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9399/tcp # 強制配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=4098/tcp # イベント監視(定義GUI) /usr/bin/firewall-cmd --permanent --zone=public --add-port=9345/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=9371/tcp # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /usr/bin/firewall-cmd --permanent --zone=public --add-port=2750/tcp # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /usr/bin/firewall-cmd --permanent --zone=public --add-port=2425/tcp # リモートコマンド /usr/bin/firewall-cmd --permanent --zone=public --add-port=9294/udp # サーバの電源投入・切断 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9373/tcp # Linux for Itanium版のサーバの電源投入・切断 /usr/bin/firewall-cmd --permanent --zone=public --add-port=1952/udp # 自動アクション /usr/bin/firewall-cmd --permanent --zone=public --add-port=6961/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=9371/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=9369/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=9370/tcp # 監査ログ管理 # インベントリ情報の通知 # 修正の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=1105/tcp #****設定の反映**** /usr/bin/firewall-cmd --reload
iptablesサービスを使用する場合
【IPv4】
#****全サーバ共通の必須設定**** # 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定 /sbin/iptables -I OUTPUT -o lo -j ACCEPT /sbin/iptables -I INPUT -i lo -j ACCEPT /sbin/iptables -I OUTPUT -p icmp -j ACCEPT /sbin/iptables -I INPUT -p icmp -j ACCEPT /sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT #****部門管理サーバ 必須ポート**** /sbin/iptables -I OUTPUT -p tcp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9294 -j ACCEPT /sbin/iptables -I OUTPUT -p tcp --dport 5968 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5967 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5968 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 4013 -j ACCEPT #****部門管理サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の監視、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/iptables -I OUTPUT -p udp --dport 161 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 161 -j ACCEPT # SNMPトラップの監視 /sbin/iptables -I OUTPUT -p udp --dport 162 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 162 -j ACCEPT # SNMPトラップの監視(Linux for Itanium版の場合) /sbin/iptables -I OUTPUT -p udp --dport 5972 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 5972 -j ACCEPT # MIBしきい値の監視 /sbin/iptables -I OUTPUT -p tcp --dport 5971 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5971 -j ACCEPT # サーバへの資源配付 /sbin/iptables -I OUTPUT -p tcp --dport 9324 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9324 -j ACCEPT # クライアントへの資源配付、GUI通信 /sbin/iptables -I INPUT -p tcp --dport 9231 -j ACCEPT # HTTP通信を用いたサーバへの資源の配付 /sbin/iptables -I OUTPUT -p tcp --dport 9394 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9394 -j ACCEPT # HTTP通信を用いたクライアントへの資源の配付 /sbin/iptables -I INPUT -p tcp --dport 9393 -j ACCEPT # HTTPS通信を用いたサーバへの資源の配付 /sbin/iptables -I OUTPUT -p tcp --dport 9398 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9398 -j ACCEPT # HTTPS通信を用いたクライアントへの資源の配付 /sbin/iptables -I INPUT -p tcp --dport 9399 -j ACCEPT # 強制配付 /sbin/iptables -I INPUT -p tcp --dport 4098 -j ACCEPT # イベント監視(定義GUI) /sbin/iptables -I INPUT -p tcp --dport 9345 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9371 -j ACCEPT # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/iptables -I OUTPUT -p tcp --dport 2750 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 2750 -j ACCEPT # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /sbin/iptables -I OUTPUT -p tcp --dport 2425 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 2425 -j ACCEPT # リモートコマンド /sbin/iptables -I OUTPUT -p udp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 9294 -j ACCEPT # サーバの電源投入・切断 /sbin/iptables -I INPUT -p tcp --dport 9373 -j ACCEPT # Linux for Itanium版のサーバの電源投入・切断 /sbin/iptables -I INPUT -p udp --dport 1952 -j ACCEPT # 自動アクション /sbin/iptables -I OUTPUT -p tcp --dport 6961 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9371 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9369 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9370 -j ACCEPT # 監査ログ管理 # インベントリ情報の通知 # 修正の配付 /sbin/iptables -I OUTPUT -p tcp --dport 1105 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 1105 -j ACCEPT #****設定の保存・反映**** #Red Hat Enterprise Linux 6以前の場合 /etc/init.d/iptables save /sbin/service iptables restart #Red Hat Enterprise Linux 7以降の場合 /sbin/service iptables save /sbin/service iptables restart
【IPv6】
#****全サーバ共通の必須設定**** # 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定 /sbin/ip6tables -I OUTPUT -o lo -j ACCEPT /sbin/ip6tables -I INPUT -i lo -j ACCEPT /sbin/ip6tables -I OUTPUT -p ipv6-icmp -j ACCEPT /sbin/ip6tables -I INPUT -p ipv6-icmp -j ACCEPT /sbin/ip6tables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT #****部門管理サーバ 必須ポート**** /sbin/ip6tables -I OUTPUT -p tcp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9294 -j ACCEPT /sbin/ip6tables -I OUTPUT -p tcp --dport 5968 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5967 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5968 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 4013 -j ACCEPT #****部門管理サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の監視、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/ip6tables -I OUTPUT -p udp --dport 161 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 161 -j ACCEPT # SNMPトラップの監視 /sbin/ip6tables -I OUTPUT -p udp --dport 162 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 162 -j ACCEPT # SNMPトラップの監視(Linux for Itanium版の場合) /sbin/ip6tables -I OUTPUT -p udp --dport 5972 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 5972 -j ACCEPT # MIBしきい値の監視 /sbin/ip6tables -I OUTPUT -p tcp --dport 5971 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5971 -j ACCEPT # サーバへの資源配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9324 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9324 -j ACCEPT # クライアントへの資源配付、GUI通信 /sbin/ip6tables -I INPUT -p tcp --dport 9231 -j ACCEPT # HTTP通信を用いたサーバへの資源の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9394 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9394 -j ACCEPT # HTTP通信を用いたクライアントへの資源の配付 /sbin/ip6tables -I INPUT -p tcp --dport 9393 -j ACCEPT # HTTPS通信を用いたサーバへの資源の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9398 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9398 -j ACCEPT # HTTPS通信を用いたクライアントへの資源の配付 /sbin/ip6tables -I INPUT -p tcp --dport 9399 -j ACCEPT # 強制配付 /sbin/ip6tables -I INPUT -p tcp --dport 4098 -j ACCEPT # イベント監視(定義GUI) /sbin/ip6tables -I INPUT -p tcp --dport 9345 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9371 -j ACCEPT # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/ip6tables -I OUTPUT -p tcp --dport 2750 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 2750 -j ACCEPT # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /sbin/ip6tables -I OUTPUT -p tcp --dport 2425 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 2425 -j ACCEPT # リモートコマンド /sbin/ip6tables -I OUTPUT -p udp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 9294 -j ACCEPT # サーバの電源投入・切断 /sbin/ip6tables -I INPUT -p tcp --dport 9373 -j ACCEPT # Linux for Itanium版のサーバの電源投入・切断 /sbin/ip6tables -I INPUT -p udp --dport 1952 -j ACCEPT # 自動アクション /sbin/ip6tables -I OUTPUT -p tcp --dport 6961 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9371 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9369 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9370 -j ACCEPT # 監査ログ管理 # インベントリ情報の通知 # 修正の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 1105 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 1105 -j ACCEPT #****設定の保存・反映**** #Red Hat Enterprise Linux 6以前の場合 /etc/init.d/ip6tables save /sbin/service ip6tables restart #Red Hat Enterprise Linux 7以降の場合 /sbin/service ip6tables save /sbin/service ip6tables restart
ファイアウォール機能の設定例(業務サーバ)
firewalldサービスを使用する場合【Red Hat Enterprise Linux 7以降】
#****全サーバ共通の必須設定**** # iptablesサービスの無効化・停止 # IPv4の場合 /usr/bin/systemctl disable iptables.service /usr/bin/systemctl stop iptables.service # IPv6の場合 /usr/bin/systemctl disable ip6tables.service /usr/bin/systemctl stop ip6tables.service # firewalldサービスの有効化・起動 /usr/bin/systemctl enable firewalld.service /usr/bin/systemctl start firewalld.service # ネットワークインタフェースの追加 /usr/bin/firewall-cmd --permanent --zone=public --add-interface=eth0 #****業務サーバ 必須ポート**** /usr/bin/firewall-cmd --permanent --zone=public --add-port=9294/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=5967/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=5968/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=4013/tcp #****業務サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の表示、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /usr/bin/firewall-cmd --permanent --zone=public --add-port=161/udp # SNMPトラップの監視 /usr/bin/firewall-cmd --permanent --zone=public --add-port=162/udp # サーバへの資源配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9324/tcp # クライアントへの資源配付、GUI通信 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9231/tcp # HTTP通信を用いたサーバへの資源の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9394/tcp # HTTP通信を用いたクライアントへの資源の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9393/tcp # HTTPS通信を用いたサーバへの資源の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9398/tcp # HTTPS通信を用いたクライアントへの資源の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9399/tcp # 強制配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=4098/tcp # イベント監視(定義GUI) /usr/bin/firewall-cmd --permanent --zone=public --add-port=9345/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=9371/tcp # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /usr/bin/firewall-cmd --permanent --zone=public --add-port=2425/tcp # リモートコマンド /usr/bin/firewall-cmd --permanent --zone=public --add-port=9294/udp # サーバの電源投入・切断 /usr/bin/firewall-cmd --permanent --zone=public --add-port=9373/tcp # Linux for Itanium版のサーバの電源投入・切断 /usr/bin/firewall-cmd --permanent --zone=public --add-port=1952/udp # 自動アクション /usr/bin/firewall-cmd --permanent --zone=public --add-port=6961/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=9371/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=9369/tcp /usr/bin/firewall-cmd --permanent --zone=public --add-port=9370/tcp # 監査ログ管理 # 修正の配付 /usr/bin/firewall-cmd --permanent --zone=public --add-port=1105/tcp #****設定の反映**** /usr/bin/firewall-cmd --reload
iptablesサービスを使用する場合
【IPv4】
#****全サーバ共通の必須設定**** # 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定 /sbin/iptables -I OUTPUT -o lo -j ACCEPT /sbin/iptables -I INPUT -i lo -j ACCEPT /sbin/iptables -I OUTPUT -p icmp -j ACCEPT /sbin/iptables -I INPUT -p icmp -j ACCEPT /sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT #****業務サーバ 必須ポート**** /sbin/iptables -I OUTPUT -p tcp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5967 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 5968 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 4013 -j ACCEPT #****業務サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の表示、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/iptables -I OUTPUT -p udp --dport 161 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 161 -j ACCEPT # SNMPトラップの監視 /sbin/iptables -I OUTPUT -p udp --dport 162 -j ACCEPT # サーバへの資源配付 /sbin/iptables -I OUTPUT -p tcp --dport 9324 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9324 -j ACCEPT # クライアントへの資源配付、GUI通信 /sbin/iptables -I INPUT -p tcp --dport 9231 -j ACCEPT # HTTP通信を用いたサーバへの資源の配付 /sbin/iptables -I OUTPUT -p tcp --dport 9394 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9394 -j ACCEPT # HTTP通信を用いたクライアントへの資源の配付 /sbin/iptables -I INPUT -p tcp --dport 9393 -j ACCEPT # HTTPS通信を用いたサーバへの資源の配付 /sbin/iptables -I OUTPUT -p tcp --dport 9398 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9398 -j ACCEPT # HTTPS通信を用いたクライアントへの資源の配付 /sbin/iptables -I INPUT -p tcp --dport 9399 -j ACCEPT # 強制配付 /sbin/iptables -I INPUT -p tcp --dport 4098 -j ACCEPT # イベント監視(定義GUI) /sbin/iptables -I INPUT -p tcp --dport 9345 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9371 -j ACCEPT # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /sbin/iptables -I OUTPUT -p tcp --dport 2425 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 2425 -j ACCEPT # リモートコマンド /sbin/iptables -I OUTPUT -p udp --dport 9294 -j ACCEPT /sbin/iptables -I INPUT -p udp --dport 9294 -j ACCEPT # サーバの電源投入・切断 /sbin/iptables -I INPUT -p tcp --dport 9373 -j ACCEPT # Linux for Itanium版のサーバの電源投入・切断 /sbin/iptables -I INPUT -p udp --dport 1952 -j ACCEPT # 自動アクション /sbin/iptables -I OUTPUT -p tcp --dport 6961 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9371 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9369 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 9370 -j ACCEPT # 監査ログ管理 # 修正の配付 /sbin/iptables -I OUTPUT -p tcp --dport 1105 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 1105 -j ACCEPT #****設定の保存・反映**** #Red Hat Enterprise Linux 6以前の場合 /etc/init.d/iptables save /sbin/service iptables restart #Red Hat Enterprise Linux 7以降の場合 /sbin/service iptables save /sbin/service iptables restart
【IPv6】
#****全サーバ共通の必須設定**** # 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定 /sbin/ip6tables -I OUTPUT -o lo -j ACCEPT /sbin/ip6tables -I INPUT -i lo -j ACCEPT /sbin/ip6tables -I OUTPUT -p ipv6-icmp -j ACCEPT /sbin/ip6tables -I INPUT -p ipv6-icmp -j ACCEPT /sbin/ip6tables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT /sbin/ip6tables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT #****業務サーバ 必須ポート**** /sbin/ip6tables -I OUTPUT -p tcp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5967 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 5968 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 4013 -j ACCEPT #****業務サーバ 選択ポート**** # ノードの自動検出 # MIBしきい値の監視 # 稼働状態の表示、DHCPクライアントの監視 # 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む) /sbin/ip6tables -I OUTPUT -p udp --dport 161 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 161 -j ACCEPT # SNMPトラップの監視 /sbin/ip6tables -I OUTPUT -p udp --dport 162 -j ACCEPT # サーバへの資源配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9324 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9324 -j ACCEPT # クライアントへの資源配付、GUI通信 /sbin/ip6tables -I INPUT -p tcp --dport 9231 -j ACCEPT # HTTP通信を用いたサーバへの資源の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9394 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9394 -j ACCEPT # HTTP通信を用いたクライアントへの資源の配付 /sbin/ip6tables -I INPUT -p tcp --dport 9393 -j ACCEPT # HTTPS通信を用いたサーバへの資源の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 9398 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9398 -j ACCEPT # HTTPS通信を用いたクライアントへの資源の配付 /sbin/ip6tables -I INPUT -p tcp --dport 9399 -j ACCEPT # 強制配付 /sbin/ip6tables -I INPUT -p tcp --dport 4098 -j ACCEPT # イベント監視(定義GUI) /sbin/ip6tables -I INPUT -p tcp --dport 9345 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9371 -j ACCEPT # アプリケーションの稼働監視 # アプリケーションの性能監視 # アプリケーションの操作(起動・停止) /sbin/ip6tables -I OUTPUT -p tcp --dport 2425 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 2425 -j ACCEPT # リモートコマンド /sbin/ip6tables -I OUTPUT -p udp --dport 9294 -j ACCEPT /sbin/ip6tables -I INPUT -p udp --dport 9294 -j ACCEPT # サーバの電源投入・切断 /sbin/ip6tables -I INPUT -p tcp --dport 9373 -j ACCEPT # Linux for Itanium版のサーバの電源投入・切断 /sbin/ip6tables -I INPUT -p udp --dport 1952 -j ACCEPT # 自動アクション /sbin/ip6tables -I OUTPUT -p tcp --dport 6961 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9371 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9369 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 9370 -j ACCEPT # 監査ログ管理 # 修正の配付 /sbin/ip6tables -I OUTPUT -p tcp --dport 1105 -j ACCEPT /sbin/ip6tables -I INPUT -p tcp --dport 1105 -j ACCEPT #****設定の保存・反映**** #Red Hat Enterprise Linux 6以前の場合 /etc/init.d/ip6tables save /sbin/service ip6tables restart #Red Hat Enterprise Linux 7以降の場合 /sbin/service ip6tables save /sbin/service ip6tables restart
