- PR -

linuxサーバのアクセス制御

1
投稿者投稿内容
JJ
ベテラン
会議室デビュー日: 2003/02/25
投稿数: 61
投稿日時: 2005-10-03 10:03
お世話になります

サーバOS:RedHatLinux9.0

今までルータでアクセス制御を行っていたのですが、
環境が変わりサーバ側でアクセス制御を行うことになりました。
接続元のIPとポートを元に制御を行う予定です。

調べた結果「hosts」と「iptable」で行う方法を見つけました。
双方とも実現可能だと思いますが

この2つの方法はどちらで行うのが一般的でしょうか?
また、○○の場合はhostsがよい、××の場合iptableがよいなどありますでしょうか?

以上、ご教授よろしくお願いします
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-10-03 10:39
こんにちわ.

"hosts" とは tcp wrapper のことですよね?
こちらは対応しているのとしていないのとあります.
サービスを提供するプログラムをコンパイルする際に
tcp wrapper のライブラリを組み込んだりする必要があります.

"iptables" を使う netfilter はそういった必要はありません.
なので,どちらかというと iptables のほうがきめ細かい制御が出来ます.
ただ,機能が豊富すぎるのでわかりにくいきらいがあり,
内部で簡単に機能させたいだけなら tcp wrapper のほうが良いかもしれません.

以上,ご参考までに.
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-10-03 12:58
こんにちは。
引用:
"hosts" とは tcp wrapper のことですよね?

という前提にて。

tcpwrappers と Netfilter/iptables は独立した機構ですので、併用することも可能です。
ただ、私の周囲では、Netfilter/iptables を設計に組み込むことは稀です。中央の FireWall機器や L3-switch で制御し、必要に応じて tcpwrappers を利用すれば十分、という結論に落ち着く事が多いです。
※単に iptablesで設定するのが面倒なだけなような気もするので、私としては本意ではないのですが…

Netfilter/iptablesを利用したがらない背景には、
 ・Netfilter/iptables は Linux kernel の独自機構
 ・tcpwrappers は補助プログラム ( tcpd )もしくはライブラリ ( libwrap ) であり、
  UNIX一般で汎用的に使える上に歴史が長い
というのもあるかもしれません。
※それ以上に、Netfilter/iptables の機能が FireWall機器と被るからかもしれません。

ちなみに、RedHatの標準パッケージには tcpwrappersライブラリ ( libwrap ) が組み込まれているものが多い…と思います。多分。

引用:
類似のFedoraCore1にて、コマンド実行例:
$ rpm -q --provides tcp_wrappers
libwrap.so.0
tcp_wrappers = 7.6-34.as21.1

$ rpm -q --whatrequires libwrap.so.0
stunnel-4.04-6
openssh-server-3.6.1p2-19
quota-3.06-11
xinetd-2.3.12-4.10.0
ORBit-0.5.17-10.3
net-snmp-5.1-2.1
vsftpd-1.2.1-4.fc1
gnome-session-2.4.0-3


追記:
忘れていましたが、私のお勧めは可能な限り両方使え!!です。一応。

[ メッセージ編集済み 編集者: angel 編集日時 2005-10-03 13:07 ]
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-10-03 13:19
引用:

ただ、私の周囲では、Netfilter/iptables を設計に組み込むことは稀です。中央の FireWall機器や L3-switch で制御し、必要に応じて tcpwrappers を利用すれば十分、という結論に落ち着く事が多いです。

まあ、Firewallなどにぶら下がってるサーバが複数台ある場合、
各サーバで個別にフィルタするより、Firewallだけで設定してしまった方が管理が楽、
ってのはあるでしょうね。サーバの数が増えれば増えるほど大きく変わってきます。

その辺のことを考えると、例えば
「ルータを変更してフィルタ機能が無くなった/貧弱になった」
という事情であれば、
「各サーバでフィルタする」という選択肢だけじゃなく、
「さらにルータを変更してルータでフィルタする」
という選択肢も検討した方がいいんじゃないか、とか思います。

僕自身は、Firewallでしっかり防いだ上で、iptablesでも緩やかなルール(ポート単位の
許可設定だけ)というパターンで設計することが多いです。
JJ
ベテラン
会議室デビュー日: 2003/02/25
投稿数: 61
投稿日時: 2005-10-03 18:02
ご回答ありがとうございます。

iptableで行ってみたところ
上手くいきました。

とりあえずこれで様子を見てみようと思います。
(今回は政治的な理由でルータ側の設定が不可でしたので)
1

スキルアップ/キャリアアップ(JOB@IT)