3.11.3 ファイアウォール機能の設定例

運用管理サーバのファイアウォール機能の設定例を以下に示します。

ここに記載されているファイアウォール設定のコマンドは、ファイアウォール設定を以下の条件で行う環境で有効な例です。

firewalldサービスを使用する場合【Red Hat Enterprise Linux 7以降】
iptablesサービスを使用する場合
- ノードに入ってくるパケットを INPUT チェインでのみ制御している
- ノードから出ていくパケットを OUTPUT チェインでのみ制御している
上記条件に合わない環境で設定を行う場合は、対象チェインやターゲット(ACCEPTやDROPなど)の指定変更、設定の追加などが必要となります。ファイアウォール機能の詳細については、OSのマニュアルを参照してください。

上記以外でファイアウォール設定を行っている場合は、各ファイアウォール機能のマニュアルを参照してください。

firewalldサービスを使用する場合【Red Hat Enterprise Linux 7以降】

#****全サーバ共通の必須設定****
# iptablesサービスの無効化・停止
# IPv4の場合
/usr/bin/systemctl disable iptables.service
/usr/bin/systemctl stop iptables.service 
# IPv6の場合
/usr/bin/systemctl disable ip6tables.service
/usr/bin/systemctl stop ip6tables.service 
# firewalldサービスの有効化・起動
/usr/bin/systemctl enable firewalld.service
/usr/bin/systemctl start firewalld.service
# ネットワークインタフェースの追加
/usr/bin/firewall-cmd --permanent --zone=public --add-interface=eth0

#****運用管理サーバ 必須ポート****
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9294/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=8002/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=5967/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=5968/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=5969/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=1261/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=4013/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=2952/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9344/tcp

#****運用管理サーバ 選択ポート****
# ノードの自動検出
# MIBしきい値の監視
# 稼働状態の監視、DHCPクライアントの監視
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む)
/usr/bin/firewall-cmd --permanent --zone=public --add-port=161/udp
# SNMPトラップの監視
/usr/bin/firewall-cmd --permanent --zone=public --add-port=162/udp
# SNMPトラップの監視(Linux for Itanium版の場合)
/usr/bin/firewall-cmd --permanent --zone=public --add-port=5972/udp
# MIBしきい値の監視
/usr/bin/firewall-cmd --permanent --zone=public --add-port=5971/tcp
# インベントリ情報の管理
# 修正適用状況の管理
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9396/tcp
# Systemwalker Webコンソール
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9800/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=443/tcp
# サーバへの資源配付
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9324/tcp
# クライアントへの資源配付、GUI通信
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9231/tcp
# HTTP通信を用いたサーバへの資源の配付
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9394/tcp
# HTTP通信を用いたクライアントへの資源の配付
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9393/tcp
# HTTPS通信を用いたサーバへの資源の配付
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9398/tcp
# HTTPS通信を用いたクライアントへの資源の配付
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9399/tcp
# 強制配付
/usr/bin/firewall-cmd --permanent --zone=public --add-port=4098/tcp
# イベント監視(定義GUI)
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9345/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9371/tcp
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む)
/usr/bin/firewall-cmd --permanent --zone=public --add-port=2750/tcp
# アプリケーションの稼働監視
# アプリケーションの性能監視
# アプリケーションの操作(起動・停止)
/usr/bin/firewall-cmd --permanent --zone=public --add-port=2425/tcp
# リモートコマンド
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9294/udp
# サーバの電源投入・切断
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9373/tcp
# 自動アクション
/usr/bin/firewall-cmd --permanent --zone=public --add-port=6961/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9371/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9369/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9370/tcp
# コンソール操作制御
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9343/tcp
/usr/bin/firewall-cmd --permanent --zone=public --add-port=9397/tcp
# 監査ログ管理
# インベントリ情報の通知
/usr/bin/firewall-cmd --permanent --zone=public --add-port=1105/tcp
#****設定の反映****
/usr/bin/firewall-cmd --reload

iptablesサービスを使用する場合

【IPv4】

#****全サーバ共通の必須設定****
# 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定
/sbin/iptables -I OUTPUT -o lo -j ACCEPT
/sbin/iptables -I INPUT  -i lo -j ACCEPT
/sbin/iptables -I OUTPUT -p icmp -j ACCEPT
/sbin/iptables -I INPUT  -p icmp -j ACCEPT
/sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT

#****運用管理サーバ 必須ポート****
/sbin/iptables -I OUTPUT -p tcp --dport 9294 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 9294 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 8002 -j ACCEPT
/sbin/iptables -I OUTPUT -p tcp --dport 5967 -j ACCEPT
/sbin/iptables -I OUTPUT -p tcp --dport 5968 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 5969 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 1261 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 4013 -j ACCEPT
/sbin/iptables -I OUTPUT -p tcp --dport 2952 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 2952 -j ACCEPT
/sbin/iptables -I OUTPUT -p tcp --dport 9344 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 9344 -j ACCEPT

#****運用管理サーバ 選択ポート****
# ノードの自動検出
# MIBしきい値の監視
# 稼働状態の監視、DHCPクライアントの監視
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む)
/sbin/iptables -I OUTPUT -p udp --dport 161 -j ACCEPT
/sbin/iptables -I INPUT -p udp --dport 161 -j ACCEPT
# SNMPトラップの監視
/sbin/iptables -I INPUT  -p udp --dport 162 -j ACCEPT
# SNMPトラップの監視(Linux for Itanium版の場合)
/sbin/iptables -I OUTPUT -p udp --dport 5972 -j ACCEPT
/sbin/iptables -I INPUT -p udp --dport 5972 -j ACCEPT
# MIBしきい値の監視
/sbin/iptables -I OUTPUT -p tcp --dport 5971 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 5971 -j ACCEPT
# インベントリ情報の管理
# 修正適用状況の管理
/sbin/iptables -I INPUT  -p tcp --dport 9396 -j ACCEPT
# Systemwalker Webコンソール
/sbin/iptables -I INPUT  -p tcp --dport 9800 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 443 -j ACCEPT
# サーバへの資源配付
/sbin/iptables -I OUTPUT -p tcp --dport 9324 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 9324 -j ACCEPT
# クライアントへの資源配付、GUI通信
/sbin/iptables -I INPUT  -p tcp --dport 9231 -j ACCEPT
# HTTP通信を用いたサーバへの資源の配付
/sbin/iptables -I OUTPUT -p tcp --dport 9394 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 9394 -j ACCEPT
# HTTP通信を用いたクライアントへの資源の配付
/sbin/iptables -I INPUT  -p tcp --dport 9393 -j ACCEPT
# HTTPS通信を用いたサーバへの資源の配付
/sbin/iptables -I OUTPUT -p tcp --dport 9398 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 9398 -j ACCEPT
# HTTPS通信を用いたクライアントへの資源の配付
/sbin/iptables -I INPUT  -p tcp --dport 9399 -j ACCEPT
# 強制配付
/sbin/iptables -I OUTPUT -p tcp --dport 4098 -j ACCEPT
# イベント監視(定義GUI)
/sbin/iptables -I INPUT  -p tcp --dport 9345 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 9371 -j ACCEPT
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む)
/sbin/iptables -I OUTPUT -p tcp --dport 2750 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 2750 -j ACCEPT
# アプリケーションの稼働監視
# アプリケーションの性能監視
# アプリケーションの操作(起動・停止)
/sbin/iptables -I OUTPUT -p tcp --dport 2425 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 2425 -j ACCEPT
# リモートコマンド
/sbin/iptables -I OUTPUT -p udp --dport 9294 -j ACCEPT
/sbin/iptables -I INPUT  -p udp --dport 9294 -j ACCEPT
# サーバの電源投入・切断
/sbin/iptables -I INPUT  -p tcp --dport 9373 -j ACCEPT
# 自動アクション
/sbin/iptables -I OUTPUT -p tcp --dport 6961 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 9371 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 9369 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 9370 -j ACCEPT 
# コンソール操作制御
/sbin/iptables -I INPUT  -p tcp --dport 9343 -j ACCEPT
/sbin/iptables -I OUTPUT -p tcp --dport 9397 -j ACCEPT
# 監査ログ管理
# インベントリ情報の通知
/sbin/iptables -I OUTPUT -p tcp --dport 1105 -j ACCEPT
/sbin/iptables -I INPUT  -p tcp --dport 1105 -j ACCEPT

#****設定の保存・反映****
#Red Hat Enterprise Linux 6以前の場合
/etc/init.d/iptables save
/sbin/service iptables restart
#Red Hat Enterprise Linux 7以降の場合
/sbin/service iptables save
/sbin/service iptables restart

【IPv6】

#****全サーバ共通の必須設定****
# 自サーバ内通信の許可、ICMP通信の許可、接続済み通信の許可を設定
/sbin/ip6tables -I OUTPUT -o lo -j ACCEPT
/sbin/ip6tables -I INPUT  -i lo -j ACCEPT
/sbin/ip6tables -I OUTPUT -p ipv6-icmp -j ACCEPT
/sbin/ip6tables -I INPUT  -p ipv6-icmp -j ACCEPT
/sbin/ip6tables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/ip6tables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
/sbin/ip6tables -I INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
/sbin/ip6tables -I OUTPUT -p udp -m state --state ESTABLISHED -j ACCEPT

#****運用管理サーバ 必須ポート****
/sbin/ip6tables -I OUTPUT -p tcp --dport 9294 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 9294 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 8002 -j ACCEPT
/sbin/ip6tables -I OUTPUT -p tcp --dport 5967 -j ACCEPT
/sbin/ip6tables -I OUTPUT -p tcp --dport 5968 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 5969 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 1261 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 4013 -j ACCEPT
/sbin/ip6tables -I OUTPUT -p tcp --dport 2952 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 2952 -j ACCEPT
/sbin/ip6tables -I OUTPUT -p tcp --dport 9344 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 9344 -j ACCEPT

#****運用管理サーバ 選択ポート****
# ノードの自動検出
# MIBしきい値の監視
# 稼働状態の監視、DHCPクライアントの監視
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む)
/sbin/ip6tables -I OUTPUT -p udp --dport 161 -j ACCEPT
/sbin/ip6tables -I INPUT -p udp --dport 161 -j ACCEPT
# SNMPトラップの監視
/sbin/ip6tables -I INPUT  -p udp --dport 162 -j ACCEPT
# SNMPトラップの監視(Linux for Itanium版の場合)
/sbin/ip6tables -I OUTPUT -p udp --dport 5972 -j ACCEPT
/sbin/ip6tables -I INPUT -p udp --dport 5972 -j ACCEPT
# MIBしきい値の監視
/sbin/ip6tables -I OUTPUT -p tcp --dport 5971 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 5971 -j ACCEPT
# インベントリ情報の管理
# 修正適用状況の管理
/sbin/ip6tables -I INPUT  -p tcp --dport 9396 -j ACCEPT
# Systemwalker Webコンソール
/sbin/ip6tables -I INPUT  -p tcp --dport 9800 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 443 -j ACCEPT
# サーバへの資源配付
/sbin/ip6tables -I OUTPUT -p tcp --dport 9324 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 9324 -j ACCEPT
# クライアントへの資源配付、GUI通信
/sbin/ip6tables -I INPUT  -p tcp --dport 9231 -j ACCEPT
# HTTP通信を用いたサーバへの資源の配付
/sbin/ip6tables -I OUTPUT -p tcp --dport 9394 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 9394 -j ACCEPT
# HTTP通信を用いたクライアントへの資源の配付
/sbin/ip6tables -I INPUT  -p tcp --dport 9393 -j ACCEPT
# HTTPS通信を用いたサーバへの資源の配付
/sbin/ip6tables -I OUTPUT -p tcp --dport 9398 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 9398 -j ACCEPT
# HTTPS通信を用いたクライアントへの資源の配付
/sbin/ip6tables -I INPUT  -p tcp --dport 9399 -j ACCEPT
# 強制配付
/sbin/ip6tables -I OUTPUT -p tcp --dport 4098 -j ACCEPT
# イベント監視(定義GUI)
/sbin/ip6tables -I INPUT  -p tcp --dport 9345 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 9371 -j ACCEPT
# 性能監視、性能情報の表示(ノード中心マップ/ペアノード経路マップの表示を含む)
/sbin/ip6tables -I OUTPUT -p tcp --dport 2750 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 2750 -j ACCEPT
# アプリケーションの稼働監視
# アプリケーションの性能監視
# アプリケーションの操作(起動・停止)
/sbin/ip6tables -I OUTPUT -p tcp --dport 2425 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 2425 -j ACCEPT
# リモートコマンド
/sbin/ip6tables -I OUTPUT -p udp --dport 9294 -j ACCEPT
/sbin/ip6tables -I INPUT  -p udp --dport 9294 -j ACCEPT
# サーバの電源投入・切断
/sbin/ip6tables -I INPUT  -p tcp --dport 9373 -j ACCEPT
# 自動アクション
/sbin/ip6tables -I OUTPUT -p tcp --dport 6961 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 9371 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 9369 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 9370 -j ACCEPT 
# コンソール操作制御
/sbin/ip6tables -I INPUT  -p tcp --dport 9343 -j ACCEPT
/sbin/ip6tables -I OUTPUT -p tcp --dport 9397 -j ACCEPT
# 監査ログ管理
# インベントリ情報の通知
/sbin/ip6tables -I OUTPUT -p tcp --dport 1105 -j ACCEPT
/sbin/ip6tables -I INPUT  -p tcp --dport 1105 -j ACCEPT

#****設定の保存・反映****
#Red Hat Enterprise Linux 6以前の場合
/etc/init.d/ip6tables save
/sbin/service ip6tables restart
#Red Hat Enterprise Linux 7以降の場合
/sbin/service ip6tables save
/sbin/service ip6tables restart