IMSVA には独自の仕組みでファイアウォールが設定されています。一般的な iptables のコマンドではファイアウォールを制御できません。
ここではファイアウォールの設定変更例をいくつか紹介します。
任意のポートへの接続を許可する
IMSVA のファイアウォールにおいて任意のポートへの接続を許可するには、IMSVA サーバに root でログインして次のコマンドを実行します。
# /opt/TrendMicro/GoldenGate/bin/fwPortConf add <プロトコル> <ポート番号>
例えば、検索サービスのポートである 10025/tcp に外部から接続できるようにするには、以下のコマンドを実行します。
# /opt/TrendMicro/GoldenGate/bin/fwPortConf add tcp 10025
また、設定を元に戻すには "add" を "del" に置き換えたコマンドを実行します。
# /opt/TrendMicro/GoldenGate/bin/fwPortConf del tcp 10025
管理コンソールのポート (8445/tcp) や SMTP のサービスポート (25/tcp) など、初期設定でファイアウォールで制御されているポートに対して機能しません。
SSH サービスおよび管理コンソールに接続するクライアントを制限する
SSH サービス (22/tcp) および管理コンソール (8445/tcp) に対して特定のクライアント (IPアドレス) からの接続のみを許可するには次の手順を参考にして任意に設定してください。
-
コマンドラインインタフェース (CLI) にログインし、特権モードに移行してください。CLI の利用方法については こちらの 製品Q&A または管理者ガイドを参照してください。
-
以下のコマンドを実行し、ファイアウォールで SSH サービスおよび管理コンソールへのアクセスをいったん無効にします。
# configure service ssh disable # configure module IMSVA adminUI disable
-
次に root ユーザでログインし、ファイアウォール設定の rc スクリプトである /etc/rc.d/init.d/rcFirewall を vi で開き、以下のように "main $1" の直後に iptables のコマンドを2行追加します。
/etc/rc.d/init.d/rcFirewall:main $1 iptables -I INPUT 7 -i eth0 -p tcp -s 192.168.0.1/24 --dport 8445 -j ACCEPT iptables -I INPUT 8 -i eth0 -p tcp -s 192.168.0.1/24 --dport 22 -j ACCEPT # vim:shiftwidth=4:tabstop=4:expandtab:ft=sh
上記例では 192.168.0.1/24 からのアクセスのみ許可します。ユーザ環境に合わせて適切に設定してください。
-
最後に下記コマンドで設定の変更を反映します。
# /etc/rc.d/init.d/rcFirewall restart
iptables のコマンドでリスト化されたルールを確認すると以下のように表示されます。
# iptables -L --line-numbers | grep -E '8445|ssh' 7 ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:8445 8 ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:ssh 9 DROP tcp -- anywhere anywhere tcp dpt:8445 10 DROP tcp -- anywhere anywhere tcp dpt:ssh
設定を元に戻すためには、まず rcFirewall のスクリプトに追加した iptables のコマンド行を削除後、下記コマンドを実行してファイアウォールのサービスを再起動します。
# /etc/rc.d/init.d/rcFirewall restart
最後にコマンドラインインタフェース (CLI) にログインして以下のコマンドを実行し、SSH および管理コンソールへのアクセスを許可します。
# configure service ssh enable all # configure module IMSVA adminUI enable all