仮想マシンでFedoraサーバ - ウェブサーバの構築（４）

iptables（ファイアウォール）の設定に関しては、前章８.ファイアウォールサーバの構築に詳細がありますが、ウェブサーバ上で設定する内容についてはここで再掲します。 iptablesの基本的な知識や設定方法については、前章を参照ください。

また、下記はウェブサーバにおけるiptablesの基本的な設定例です。実際にサーバを公開する際には、下記のみでは対応できない場合があります。より安全性を高めるiptablesの設定については
12(1) iptablesによる監視のページも参照ください。

　◇　　　　　◇　　　　　◇

ウェブサーバの基本的なiptablesルール設定例：

  #!/bin/sh

  #Clear all rules and policies
  iptables -F

  #Clear all user defined chains
  iptables -X

  #Default policies
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
  iptables -P FORWARD DROP

  #Loopback interface
  iptables -A INPUT -i lo -j ACCEPT

  #Accept packets (port No.8009=tomcat)
  iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 80 -j ACCEPT
  iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 8009 -j ACCEPT                ……………  (*1)

  #Established and related packets
  iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

  #User defined chains (log and then drop)
  iptables -N LOG_DROP
  iptables -A LOG_DROP -j LOG --log-level warning
  iptables -A LOG_DROP -j DROP

  #Log and drop packets (no log for Broadcast packets etc.)
  iptables -A INPUT -d 172.16.10.31 -j DROP
  iptables -A INPUT -p udp -s 172.16.10.2 --sport 5353 -d 224.0.0.251 --dport 5353 -j DROP
                                                                                                                                             ……………  (*2)
  iptables -A INPUT -j LOG_DROP

上記の設定のうち、Tomcatを使用しない場合は、(*1)の行

iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 8009 -j ACCEPT

は省きます。

また、(*2)の行は、定期的に送信されるマルチキャストDNS（ホスト名の探索）用パケットのログ出力が多量になるのを避けるために追加しています。

ウェブサーバ上でファイル転送用のサービスを使用する場合などは、サービスに必要なポートを空けておくよう、ルールを追加する必要があります。その際には、送信元のIPアドレスを限定しておくなど、できるだけ安全性を高める設定を行います。

　◇　　　　　◇　　　　　◇

ウェブサーバの準備が終わりましたら、続いてウェブサイトを準備します。

次章では、ウェブサイト作成の一例として、Apache Wicketによるウェブアプリケーションの開発方法について少しだけ触れています。