フリーソフトによるファイアウォール構築ファイアウォール運用の基礎(3)(2/3 ページ)

» 2001年07月13日 00時00分 公開
[田原祐介株式会社ラック]

IP Filterの導入

 IP Filterの最新バージョン*2をダウンロードしてきて、適当なディレクトリに展開します。展開後、以下のコマンドを実行すると、Solaris 8用のパッケージを作成してインストールします*3

*2IP Filterの2001年7月1日現在の最新バージョンは3.4.19ですが、3.4.19をSolaris 8で使用したとき、ドキュメントにない挙動が見られましたので、ここでは3.4.18を使用します


*3IP Filterに限らず、Solaris上でソフトウェアをコンパイルするときは、gccなどのコンパイラや、そのほかのツールが必要となります。ここでは、あらかじめそれらのツールがインストールされており、コマンドへのパスも正しく設定しているとします


リスト2 IP Filterの導入 リスト2 IP Filterの導入

 インストールに成功したら、マシンを再起動します。起動後、dmesgコマンドを実行して以下のメッセージを確認できたら、IP Filterが正しく起動されています。

リスト3 dmesgの結果 リスト3 dmesgの結果
図1 最初から信頼できないサーバを、不正アクセスから守ることはできない 図1 最初から信頼できないサーバを、不正アクセスから守ることはできない

 IP Filterのインストール直後は、すべてのパケットを送受信できる状態ですので、ちゃんとしたルールを適用するまでネットワークにつないではいけません。このインストール直後の状態は、ファイアウォールによって異なります。インストール直後の状態で、すべてのパケットを拒否してしまうファイアウォールもありますが、それでもすぐにネットワークにつないではいけません。ファイアウォール構築の際は、必ず信頼できるネットワークか、専用のネットワークで作業を行ってください。

 これは重要なことですが、サーバのセキュリティを維持していくためには、まず導入したサーバがセキュリティ的に信頼できるものでなければなりません。例えば、アパートに入居する際に、前の住人が玄関のドアの合いかぎを作っていたとしたら、安心して住めるでしょうか? そのようなアパートの窓に侵入警報装置を付けたとしても、合いかぎを使って玄関から堂々と入ってこられては、なんの意味もありません。

ルールの適用

 まず、ログを取るために以下の1行を「/etc/syslog.conf」に追加します。

local0.info             /var/log/ipf.log
リスト4 ログ取得のためにsyslog.confへ追加する行

 設定後、以下のコマンドを実行して設定を反映させます。これで、IP Filterのルールでログを取るように設定したものについては、「/var/log/ipf.log」にログが記録されます。

# touch /var/log/ipf.log
# kill -HUP `cat /etc/syslog.pid`
リスト5 syslog.confの設定内容を反映させる

 IP Filterのルールは、「/etc/opt/ipf/ipf.conf」ファイルで設定します。最もシンプルな設定は以下のようになります(ルール1)。

block in all ……(1)
pass in all  ……(2)
ルール1 最もシンプルな例

 設定後、以下のコマンドを実行して、IP Filterにルールを再読み込みさせます。これ以降、ipf.confを変更した後はこのコマンドを実行して、ルールの適用を行うようにしてください。

# /etc/init.d/ipfboot reload
リスト6 ルールの適用方法

 ルール1において、(1)は「すべての内向きのパケットを拒否する」、(2)は「すべての内向きのパケットを許可する」という意味になります。一般のファイアウォールの場合、パケットが(1)にマッチした時点でルールが適用されるため、すべての内向きのパケットが拒否されるという結果になります。しかしIP Filterの場合は、最後にマッチしたルールが適用される、という原則になっています。そのため、(1)にマッチしたパケットも、以降の(2)にマッチするため、「すべての内向きのパケットを許可する」という結果になるのです。

 このように、ファイアウォールによって、ルールの適用原則が異なることがあります。そのため、同じような感覚で異なるファイアウォールを設定しようとすると、単純な設定ミスを犯すことがあるので気を付ける必要があります。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。