rurihabachi
Last update: 2013/11/25  
    仮 想 マ シ ン で Fedora サ ー バ       ◇◇◇  お金をかけずに簡単簡潔  ◇◇◇  サーバ構築公開手順 覚書き  ◇◇◇
 
 
サーバ構築メニュー  
     1. はじめに
     2. 構築前の準備
     3. サーバの役割り
  » 4. サーバの計画
  » 5. 仮想マシンの準備
  » 6. Fedoraの準備
  » 7. サーバの基本設定
  « 8. ファイアウォール
       iptablesとは
       事前準備とルータ
       iptablesの設定例
  » 9. ウェブサーバ
  » 10. Apache Wicket
  » 11. メールサーバ
  » 12. セキュリティ
     13. サーバの公開


  サーバ構築Top  > 8.ファイアウォールサーバの構築  > (2)事前準備とルータの設定
    8. ファイアウォールサーバの構築
続いて、iptablesのルールを登録する前の事前準備等についてです。

    (2) 事前準備とルータの設定

iptablesコマンドで具体的なルールを登録する前に、はじめにサーバ上で設定や準備をしておくことがいくつかあります。
(以下、viの使いかたやアクセス権などの詳細については 7(1) 初期設定の確認とコマンドライン を参照ください。)

まず、ファイアウォールサーバで転送処理を行えるようにするための設定を行います。
rootユーザでログインしたあと、下記のコマンドを打ちます。

[root@testserver ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

さらに、/etc/sysctl.confファイルを編集します。

[root@testserver ~]# vi /etc/sysctl.conf

開いたファイルの下記の行(5行目)の設定値を1に変更します。

  net.ipv4.ip_forward = 1

変更内容を保存してviを終了します。 以上はファイアウォールサーバでの設定です。

 ◇     ◇     ◇

次に、iptablesのルール設定用のコマンド一式をまとめて書き込んでおくためのファイルを、各サーバ上で作成します。 ファイルにまとめておくことで、あとから変更したりルールを追加したりする場合も作業が簡単に行えるようになります。

ファイル名やファイルの保存場所は任意で構いませんが、例えばここではrootユーザのホームにtmpという作業フォルダをつくり、その中にiptables.shというファイルを作成して作業することにします。 ファイルの拡張子は.shにします。

[root@testserver ~]# mkdir /root/tmp
[root@testserver ~]# touch /root/tmp/iptables.sh

続いて、作成したファイルの権限を変更を行い、rootユーザにのみフル権限(更新・参照・実行権限)を付与します。 ファイルの権限を変更する場合は"chmod"コマンドを使います。

[root@testserver ~]# chmod 700 /root/tmp/iptables.sh

700というのは付与する権限を示しています。 (ファイルのアクセス権限の詳細については 7(1) 初期設定の確認とコマンドライン のページを参照ください。)

例えば下の図は権限を変更する前の"tmp"フォルダ内のファイル一覧ですが、iptables.shの行の先頭は
"-rw-r--r--"となっています。

Terminal

上で記載したコマンドを打って、iptables.shファイルの権限を変更したあとは、権限の表示は下のように変わります。

Terminal

 ◇     ◇     ◇

続いてブロードバンドルータの設定についてもここで確認しておきましょう。 以下の設定はiptablesの設定が終わったあとで行っても構いません。

(注)以下では、前章までの設定によって、既に各サーバからインターネットに接続ができる状態になっていることを前提とします。 ここでは既存の設定に追加する必要のある経路情報やアドレス変換の設定について確認します。

ますブロードバンドルータの設定画面を開きます。 (詳しくはブロードバンドルータの取扱説明書に記載されていますが、たいていはブラウザを開いて"http://ブロードバンドルータのIPアドレス/"を開くとルータへのログイン画面が表示されます。)

管理画面またはネットワーク設定等のページに進むと、「経路情報」や「アドレス変換」といった項目がありますので、それぞれにルールを追加していきます。

始めに経路情報(ルーティングテーブル)へルールを追加していきます。

ウェブサーバ、メールサーバが配置されるサブネットのネットワークアドレスとサブネットマスクを入力します。 ゲートウェイにはファイアウォールサーバのルータ側アドレスを指定します。

設定例:
ネットワークアドレス サブネットマスク ゲートウェイ
172.16.10.0 255.255.255.224 10.100.1.2

これでサーバが配置されているサブネットへ向かうパケットを、ファイアウォールサーバ経由で転送することができるようになります。

次に、アドレス変換のルールも追加します。

WAN側のプロトコル・ポートと、LAN側IPアドレス・ポートを指定します。 外部ネットワークから該当プロトコル・ポート宛に来たパケットの宛先が指定したLAN側IPアドレス・ポートに変更されます。

設定例(ウェブサーバ用):
WAN側 LAN側
プロトコル ポート IPアドレス ポート
TCP 80 10.100.1.2 80

その他、メールサーバ用に、ポート25(smtp)、110(pop3)、143(imap)、443(https)、465(smtps)、993(imaps)、995(pop3s)等についても、利用するポートに対して同様にアドレス変換情報を追加します。

 ◇     ◇     ◇

これで準備も整いましたので、次ページではiptablesのルールを記述していきます。



前のページへ <    メニューへ戻る    > 次のページへ

8.ファイアウォールサーバの構築 :
 
   (1)iptablesとは
  ›(2)事前準備とルータの設定
   (3)iptablesの設定例
 
Copyright (C) 2011-2024 rurihabachi. All rights reserved.