ページの先頭行へ戻る
Systemwalker Centric Manager Open監視 ユーザーズガイド
FUJITSU Software
第3章 導入 > 3.2 Open監視エージェントの環境構築 > 3.2.5 Solarisサーバでのファイアウォールの設定
前次

3.2.5 Solarisサーバでのファイアウォールの設定

ファイアウォール機能が有効となっている場合は、Open監視を使用することができません。

Open監視が使用するポートに対して、通信できるように以下のようにファイアウォールの設定を行う必要があります。

ポイント

「ファイアウォール機能を無効とする」に設定するよりも、「ファイアウォール機能に対して必要な通信を許可する」で設定する方が、安全な環境で使用することができます。

使用するポート番号

Open監視が使用するポートは、“使用するポート番号”を参照してください。

設定

Solarisでファイアウォールを設定する場合の設定例について説明します。

ポイント

ファイアウォール機能について

Solaris 10では標準、Solaris 11ではオプションでIP Filterというファイアウォール機能がインストールされており、設定次第で有効にすることができます。

Solaris 10/Solaris 11でファイアウォール機能が有効になっているかどうかは、以下のコマンドなどで確認することができます。

詳細については、Solaris 10/Solaris 11のマニュアルを参照してください。

# /usr/bin/svcs -a
STATE          STIME    FMRI
legacy_run     Mar_08   lrc:/etc/rcS_d/S29wrsmcfg
legacy_run     Mar_08   lrc:/etc/rc2_d/S10lu
legacy_run     Mar_08   lrc:/etc/rc2_d/S20sysetup
legacy_run     Mar_08   lrc:/etc/rc2_d/S40llc2
・・・
online         17:06:23 svc:/network/ipfilter:default (注)
・・・

注)
「svc:/network/ipfilter:default」エントリがonlineになっている場合に有効

また、ファイアウォール機能により、どの通信が制限されているかを以下のコマンドなどで確認することができます。

詳細については、Solaris 10/Solaris 11のマニュアルを参照してください。

【IPv4】

# /usr/sbin/ipfstat -io
pass out quick on lo0 all
block out log quick on hme0 from any to any port = 80
pass in quick on lo0 all
block in log quick on hme0 from any to any port = 80

【IPv6】

# /usr/sbin/ipfstat -6 -io
pass out quick on lo0 all
block out log quick on hme0 from any to any port = 80
pass in quick on lo0 all
block in log quick on hme0 from any to any port = 80
ファイアウォール機能に対して必要な通信を許可する場合

Solaris 10/Solaris 11標準のファイアウォールの設定を変更し、必要な通信だけを許可する設定を行う場合は、以下の手順に従ってください。

本手順は、一般的な設定を記載しています。導入している環境により、設定内容を修正してください。

  1. 以下のファイルを編集し、ファイアウォールの設定を変更します。

    【IPv4】

    /etc/ipf/ipf.conf

    【IPv6】

    /etc/ipf/ipf6.conf

    1. 自サーバ内で使用する通信を許可します。

      この例では、ループバックデバイス(lo0)と通信用のインタフェース(hme0)とします。ネットワーク性能を低下させないため、できるだけファイルの先頭に記載します。
      ループバックデバイスからパケットを受信する場合、およびループバックデバイスへパケットを送信する場合の通信を許可します。「lo0」は、ループバックデバイス名です。確認は、ifconfig(1M)を参照してください。

      pass out quick on lo0 all
pass in quick on lo0 all

    2. ICMP通信を許可します。

      【IPv4】

      pass in log proto icmp from any to any keep state
pass out log proto icmp from any to any keep state

      【IPv6】

      pass in log proto ipv6-icmp 
pass out log proto ipv6-icmp

    3. 特定の通信を許可します。

      使用するポー番号”を参照して、必要な通信を許可してください。

      • 送信ポートの通信を許可する場合

        pass out quick on hme0 proto プロトコル from any to any port = ポート番号 keep state

        例)
        送信ポート11051/tcpの通信を許可する場合

        pass out quick on hme0 proto tcp from any to any port = 11051 keep state

      • 受信ポートの通信を許可する場合

        pass in quick on hme0 proto プロトコル from any to any port = ポート番号 keep state

        例)
        受信ポート10050/udpの通信を許可する場合

        pass in quick on hme0 proto udp from any to any port = 10050 keep state

    4. 許可した以外のポートを拒否するための設定をします。

      拒否したポートについては、ipmon(1M)で確認できるようにロギングします。

      block in log on hme0 from any to any
block out log on hme0 from any to any

  2. ファイアウォールの設定を有効にします。

    ファイアウォールの設定を有効にするには、以下のコマンドを実行します。

    【IPv4】

    # /usr/sbin/ipf -Fa -E -f /etc/ipf/ipf.conf

    【IPv6】

    # /usr/sbin/ipf -6 -Fa -E -f /etc/ipf/ipf6.conf

  3. 設定が反映されていることを確認します。

    設定が反映されていることを確認するには、以下のコマンドを実行します。

    【IPv4】

    # /usr/sbin/ipfstat -io
pass out quick on lo0 all
pass out log quick on hme0 proto tcp from any to any port = telnet keep state
pass out quick on hme0 proto tcp/udp from any to any port = uxpopagt
pass out log proto icmp from any to any keep state
block out log quick on hme0 all
pass in quick on lo0 all
pass in log quick on hme0 proto tcp from any to any port = telnet keep state
pass in quick on hme0 proto tcp/udp from any to any port = uxpopagt
pass in quick on hme0 proto tcp from any to any port = 8002 keep state
pass in log proto icmp from any to any keep state
block in log quick on hme0 all

    【IPv6】

    # /usr/sbin/ipfstat -6 -io
pass out quick on lo0 all
pass out log quick on hme0 proto tcp from any to any port = telnet keep state
pass out quick on hme0 proto tcp/udp from any to any port = uxpopagt
pass out log proto ipv6-icmp from any to any 
block out log quick on hme0 all
pass in quick on lo0 all
pass in log quick on hme0 proto tcp from any to any port = telnet keep state
pass in quick on hme0 proto tcp/udp from any to any port = uxpopagt
pass in quick on hme0 proto tcp from any to any port = 8002 keep state
pass in log proto icmp from any to any keep state
block in log quick on hme0 all
ファイアウォール機能を無効とする場合

サーバの外部などでファイアウォールが存在し、Solaris 10/Solaris 11に標準で添付されているファイアウォールを使用しなくてもセキュリティが確保できる場合は、ファイアウォール機能自身を無効化することができます。

その場合は、以下のコマンドを実行します。

【IPv4】

# /usr/sbin/ipf -Fa

【IPv6】

# /usr/sbin/ipf -6 -Fa

なお、次回リブート時にも恒久的に無効化したい場合は、上記の手順に加え、以下のファイルも削除してください。

【IPv4】

  • /etc/ipf/ipf.conf

  • /etc/ipf/pfil.ap

【IPv6】

  • /etc/ipf/ipf6.conf

  • /etc/ipf/pfil.ap

上記ファイルについては、削除(コマンドでは「rm(1)」)ではなく、リネーム(コマンドでは「mv(1)」)により、別名で保存することをお勧めします。

上記ファイルを削除、またはリネームした後は、リブートを行い、ファイアウォールの設定が無効になっていることをipfstat(1M)で確認してください。

前次
Copyright 1995-2015 FUJITSU LIMITED