このページではWhiteBoxLinux自宅サーバーインストールする時のファイヤーウォールの設定について初心者/ビギナー向けに解説します。
お便利サーバー.com+相互リンクサイト内をキーワードで検索
WBEL3のインストール

WBEL3のインストール

インストールの下準備

インストーラの起動

操作環境の設定

Disk Druidの説明

ディスクの設定

ブートローダの設定

ネットワークの設定

ファイヤーウォール

追加言語サポート

タイムゾーンの選択

rootパスワードを設定

パッケージグループの選択1

パッケージグループの選択2

インストール準備完了

パッケージのインストール

グラフィックインターフェース(X)の設定

モニタの設定

Xのカスタム設定

おめでとうございます


強固なセキュリティ環境は最後に

現在構築中の ホスト機 に対する、外部からのアクセス制限を行う設定のステップです。

WBEL3 のファイヤーウォール機能は、通常の クライアント機 に提供されるファイヤーウォール機能と同じで、 パケット ポート番号 によって選別し、ホスト機への通過、非通過を制御するものです。

WBEL3は WindowsOS などの普及度の高い クライアント 向け OS と違い、不正パケットに対しては非常に強固なOSといえるわけですが、それでも セキュリティホール が存在しないという訳ではありません。特に WAN 空間からのアクセスに対して何も対策をとらなければ、いかにWBEL3といえども不正侵入の餌食になりかねません。

ただ、現在構築しようとしているWBEL3による 公開サーバー は、 LAN 空間に設置され、 ルーター NAT + IPマスカレード IPマスカレードの説明 によって外部から全てのパケットが遮断された環境にあり、 ポートフォワーディング ポートフォワーディングの説明 によって公開サーバー機の運用に必要なパケットだけを通過させる設定を行うことが前提になっています。

従ってこの場合、既にルーターで パケットフィルタリング が行われた状態で公開サーバー機にアクセスが行われますので、わざわざ公開サーバー機自身にファイヤーウォールを設置する必要はないでしょう。

ルーターのポートフォワーディングを用いる場合のセキュリティ環境
ルーターのポートフォワーディングを用いる場合のセキュリティ環境

またこの方法は、WAN空間からの パケットフィルタリングのすべてをルーターに任せているという形になるため、公開サーバーは同じ サブネット に設置されている別のホスト機からはパケット制限なしにアクセスできることになります。

従って、公開サーバー機を直接操作せず、サブネット内の別のクライアント用パソコンなどからリモート接続で操作する場合には、パケットフィルタリングのことを意識することなく作業できるというメリットがあります。

一方で、WBEL3自身のファイヤーウォール機能でパケットフィルタリングを行う場合、ルーターでのポートフォワーディングによるパケット制御は 理屈としては 不要です。

つまりこの場合には、ルーターWAN側からのすべてのパケットを公開サーバー機に通す、いわゆる DMZ DMZの説明 設定で構わないことになります。

DMZ+ファイヤーウォールを用いる場合のセキュリティ環境
DMZ+ファイヤーウォールを用いる場合のセキュリティ環境

ただしこの場合には、公開サーバー機は同じサブネット内にあるホスト機に対してもパケットフィルタリングを行ってしまいますので、LAN内のパソコンからリモート接続で自由自在に操作する、というわけにはいかなくなります。

もちろん、ルーターにポートフォワーディング設定を行い、なおかつ公開サーバー機にパケットフィルタリングをかけても、特に不都合はありません。

それは例えば一つのドアに二つの鍵を取り付けるのと同じことで、万が一どちらかの設定に誤りがあったり、正常に機能しなかったりした場合には有効なセキュリティ対策といえます。

管理人イチオシの一冊、
Linux初心者必読です!

ただしこの場合には、単純にルーターだけにポートフォワーディング、あるいは公開サーバー機にだけファイヤーウォール、というセキュリティ環境に比べると、その分設定の手間は増えます。

特に構築途上の公開サーバー機では、この部分の設定を何度も変更しなければならなくなりますから、その都度二種類の設定変更を行うのはとても面倒です。

従ってこのような「二重のセキュリティ対策」は、余分な手間をかけないためにも、公開サーバーとしての一通りの設定が終わった後に行うべきであって、この段階ではどちらか一方にしておくべきでしょう。

このページの先頭へ↑

ファイヤーウォールの設定

以下に、 "ファイヤーウォール" の初期画面を示します。

もし、この コンテンツ どおりのネットワークを構築するのであれば、ここでこのステップは終了となります。が、とりあえずこのステップの最後までご一読ください。

もし、 ルーター ポートフォワーディング を設定するのであれば、 (1) ファイヤーウォールなし(O) を選択して、 次(N) を左クリックして次の "追加言語サポート" のステップへ進んでください。

ルーターの 公開サーバー 機に対する設定タイプがポートフォワーディングではなく、DMZの場合には、 (1) ファイヤーウォールを有効にする(E) にチェックを入れて、以下の項目を設定することになります。

(2) には、一般に公開サーバーで利用されることの多い Well-Knownポート Well-Knownポートの説明 が抜粋してありますから、この中に有効にしたいサービスがあれば、簡単にパケット通過の設定ができます。

それぞれのWell-Knownポートの番号については、 Well-Knownポートの説明 を参考にしてください。

"WWW( HTTP )" Webサーバー によるコンテンツの公開、 " FTP " FTPサーバー の運用、 " SSH" 及び " Telnet " は外部からのリモート接続、 "Mail( SMTP )" メールサーバー へ外部からの電子メールを受け入れ、の各設定で、これらの中から項目にチェックを入れると、関係するパケットが ホスト機 へ通過するようになります。

複数の項目を設定する場合は、 ","で区切ります。

その他の ポート番号 のホスト機への通過については、 (3) の欄に、 "ポート番号(種類): プロトコル " という書式でタイプして設定します。

例えば、電子メールの配送サービスとして、 POP3 IMAP4 を有効にしたい場合は、

110:tcp,143:tcp

または

pop3:tcp,imap:tcp

のように記述します。

(4) では、ファイヤーウォールを 設定しない NIC を指定することができます。

ここでチェックを入れたNICは、 (1) (2) (3) の設定に関係なく、すべてのポート番号、プロトコルのアクセスが許可されることになります。

なぜこのような設定項目が存在するのは不審に思われるかもしれませんが、ちゃんと理由があります。

WBEL3は自分自身をルーターとして動作させることができます 自作ルーターについて

つまりこの (4) は、例えばホスト機に二つのNICを搭載して、それぞれを WAN 空間側と、 LAN 空間側に設置してルーターとして機能させる場合に、アクセス制限が不要なLAN側のNICに対して、「全パケット通過」という設定を設定を行うための項目、というわけです。

従って、NICを一つしか使用していない今回のケースでは意味のない項目のように思えますが、そういう場合には必要になる設定項目ということです。

設定が終わったら、 次(N) を左クリックして次の "追加言語サポート" のステップへ進んでください。

このサイトは既に更新を終了していますが、今のところ店じまいの予定はありません。 リンクフリー ですので、趣味や勉強のためでしたら、引用、転用、コピー、朗読、その他OKです。このサイトへのリンクについては こちら をご覧ください。
Powered by Apache
”Linux”は、Linus Torvalds 氏の各国における登録商標です。”Red Hat”及びRed Hatのロゴおよび Red Hat をベースとしたすべての商標とロゴは、各国におけるRed Hat, Inc. 社の商標または登録商標です。その他のプログラム名、システム名、製品名などは各メーカー、ベンダの各国における登録商標又は商標です。
www.centos.org - The Community ENTerprise Operating System