Tweet

前回まででホストレベルのセキュリティ対策を行った。今回からはネットワークレベルに目を向けよう。まずはiptablesを使ったパケットフィルタリング機能でファイアウォールを構築する。今回はiptablesを使うための準備について解説する。

大貫大輔
株式会社ラック
不正アクセス対策事業本部
2001/10/20

　現在、多くのサイトでファイアウォールが導入されていますが、商用ファイアウォールを導入したくてもコストの面から導入を見送っているサイトもあるのではないかと思います。

　ファイアウォールの種類は、プロキシ型とパケットフィルタリング型に大別できます。両者の違いなどについては省略させていただくとして、今回から比較的安価にファイアウォールを構築できるLinux（iptables）を用いて、パケットフィルタリング型ファイアウォールを構築する方法を説明していきます。

構築の前提条件

図1　前提とするネットワーク

　今回もまた、Red Hat Linux7.1J（kernel 2.4系）を例に説明します。kernel 2.2系のipchainsでもファイアウォールを構築することは可能ですが、ipchainsより優れているiptablesを使うことをお勧めします。

　以下の解説では、例として次のような構成を前提にファイアウォールの構築を進めていきます。IPアドレスなどについては、適宜自分の環境に読み替えてください。

　どのようなファイアウォールになるのかを簡単に説明します。まず、ファイアウォールの外側（インターネット側）のインターフェイスに保護対象となるサーバの仮想IPアドレスを割り当てます。実際のサーバはファイアウォールの内側に設置し、プライベートアドレスを割り当てます。

　Webサーバに対してHTTPによるアクセスがあったとします。名前解決によって返されるIPアドレスに対してアクセスしてくるわけですが、これはファイアウォールの外側のインターフェイス（eth0）が受け取ります。ファイアウォールはルールに従ってNAT（Network Address Translator）を実行し、Webサーバに転送します。

　ファイアウォールの外側のインターフェイスであるeth0には、以下のように各サーバの仮想IPアドレスを割り当てます。

1/2

Index ゼロから始めるLinuxセキュリティ

Page 1 構築の前提条件 　 Page 2 ファイアウォールのための基本設定 　カーネルの再構築 　仮想IPアドレスの割り当て ルールの設計 　フィルタリングルール 　NATルール

連載 ゼロから始めるLinuxセキュリティ

	連載：習うより慣れろ！ iptablesテンプレート集（全4回） 初心者にとって、iptablesは難しい。そこで、学習の第1歩としてテンプレートを自分の環境に適応させることから始めよう
	連載：ゼロから始めるLinuxセキュリティ（全11回） 奥が深いセキュリティ対策の世界をゼロから解説。ホストレベルのセキュリティからファイアウォール、IDSの構築、ログ管理方法まで、システム管理者必見
	特集：WebDAV時代のセキュリティ対策［前編］ WebDAVのメソッドは便利な反面、セキュリティホールとなり得る。しかし、適切な対策を講じることでメソッドの危険性は取り除くことができる
	特集：FreeS/WANによるIPSecの導入と運用［前編］ LinuxでIPSecを利用するには、「FreeS/WAN」というIPSecスタックを用いることになる。まず、これをインストールすることから始めよう
	特集：Linux以外のIPSecスタックとの相互接続［前編］ 別のOSや異なるIPSecスタックとの相互接続が可能なら、その用途は大幅に広がる。前編では、FreeBSDのKAMEと相互接続を試みる
	特集：sshでセキュアネットワーク サーバにリモートログインする場合は、暗号化して転送するsshを使おう。sshをサーバとクライアントにインストールすれば、インターネット上でも安全な通信が可能になる
	more

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード