Last update: 2013/11/25
|
仮 想 マ シ ン で Fedora サ ー バ ◇◇◇ お金をかけずに簡単簡潔 ◇◇◇ サーバ構築公開手順 覚書き ◇◇◇
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
サーバ構築Top
> 8.ファイアウォールサーバの構築
> (1)iptablesとは
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8. ファイアウォールサーバの構築 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(1) iptablesとは
Linuxでは、ファイアウォール用のツールとしてiptablesというソフトウェアを使用します。 iptablesはデフォルトで各Linuxマシンにインストールされていて、特に設定をしなくても自動で起動していますが、適切な設定を行わないかぎり十分なファイアウォール機能を動作させることはできません。 この章で行う設定はサーバを安全に公開するためには欠かせないものとなります。 本章では主にファイアウォールサーバ上で行う設定について順を追って見ていきますが、実際にはファイアウォールサーバだけでなく、他のサーバ上でも同様にiptablesを設定する必要があります。 各サーバごとの具体的なiptables設定例は (3) iptablesの設定例 にあります。 ◇ ◇ ◇ iptablesは、マシンに出入りする通信(パケット)をチェックして、入出を制御したり、必要に応じて宛先を書き換えたりするツールです。 この機能を使用することによって、次のようなことが可能になります。 - 許可されていないアクセスを拒否する - アクセスのログをとっておく - 他のマシンあての通信を適切な宛先に転送する iptablesは、どのようなアクセスを許可してどのようなアクセスを拒否するか、またはどのような通信内容をどのマシンに転送するか、といった判断を、あらかじめ登録されたルールに従って処理します。 iptablesはルールを登録するためのテーブルを3つ持っていて、下記のように用途を使い分けています。
上の3つのテーブルのうち、本章の設定で使用するのはfilterテーブル、natテーブルの2つです。 mangleテーブルは使用しません。 また、それぞれのテーブルは、どのタイミングでルールを適用するか、という観点から、いくつかの種類(チェイン)に分けてルールを保存しています。 デフォルトで作成されているチェインは以下のようなものになります。 filterテーブルの場合:
natテーブルの場合:
なお、チェインは自分で定義することも可能です。 上記のテーブル・チェインごとにルールを登録していく際の手順は、大まかに次の流れになります。 [1] 既存のルールを削除します。 [2] filterテーブルに関して、各チェインごとにデフォルトのポリシーを設定します。 ・・・例えば、基本的に受信(INPUT)は拒否、送信(OUTPUT)は許可する、など。 [3] 必要があればユーザ定義のチェインを作成します。 ・・・例えば、何かしらのパケットが拒否されるタイミングでログを残す、など。 [4] filterテーブルへ、デフォルトのポリシーに当てはまらないルールを登録していきます。 ・・・チェインごとに複数登録できます。複数のルールがある場合は登録順に摘要されます。 [5] natテーブルへ、転送時のルールを登録します。 ・・・例えば、あて先ポート番号が80番宛のパケットはウェブサーバへ転送する、など。 実際には、上記の手順で登録するルール等ををひとつのスクリプトファイルにあらかじめ書き込んでおいて、一気に登録することになります。 具体的なルールの書き方については (3) iptablesの設定例 に詳しく載せていますが、その前にここでルールの構文や基本的なコマンドについて確認しておきましょう。 まず、iptables自体の起動・停止に関わるコマンドですが、以下のようになります。
特に重要なのは、ルールを登録したあとに必ず保存 "service iptables save" をして、その後サービスを再起動 "service iptables restart" することです。 これを忘れるとファイアウォールが正しく機能しません。 次に、iptablesの設定に関わるコマンドです。 このコマンドは基本的に"iptables"から始まり、その後に様々なコマンドやオプションを付加します。 基本構文は下のようになります。
ここで、各オプションは、 [-t テーブル]のセクション:
-A [チェイン]のセクション:
[条件]のセクション: 条件は複数指定できます。
[-j ターゲット]のセクション:
◇ ◇ ◇ iptablesの主な構文を確認したところで、次ページ以降では具体的な設定を行っていきます。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Copyright (C) 2011-2024 rurihabachi. All rights reserved. |