iptables を管理する

Linux オペレーティング システムで IP パケットのフィルタリングを管理するツールのことを通称 "iptables" と呼びます。everRun システムで行う iptables の作業タスクが合理化され、簡単になりました。[iptables のセキュリティ] ページを使用して、さまざまなフィルター テーブル チェーンとその基本ルールの設定、保守、および検査を行うことができます。必要なパケット フィルタリング ルールを適用するための 3 つの主要チェーン (INPUTOUTPUTFORWARD) にアクセスできます。everRun システムでは、ルールが IPv4 パケットと IPv6 パケットの両方で各物理マシン (PM) 上のホスト オペレーティング システムに適用され、リブートした後もルールが保持されます。

ルールを挿入する際、チェーン (INPUTOUTPUT、または FORWARD) と [ルール ID] を指定します。受信パケットの処理ではカーネルが INPUT チェーンに関連付けられているルールを適用し、送信パケットの処理時には OUTPUT チェーンに関連付けられているルールを適用します。別のホストへのルーティングが必要な受信パケットを処理する場合、カーネルは FORWARD チェーンに関連付けられているルールを適用します。ルールは [ルール ID] の順序に従って適用されます。([ルール ID] は行 ID と似ています。たとえば、ルール ID が 1 の場合、1 行目に相当します。)ルールを作成する代わりに、ルールのデフォルト設定を読み込むこともできます。

[iptables セキュリティ] ページに、3 つのチェーンとその関連ルールについてそれぞれ個別の表が表示されます。特定のチェーンに設定されているルールは、チェーンごとに [ルール ID] によってソートされます。列にはネットワーク名、ネットワークのタイプ、プロトコル、およびその他の情報が表示されます。必要な場合は、ページの右側にあるスクロールバーを使ってすべてのルールを表示したり、下部にあるスクロール バーを使ってすべての列を表示できます。iptables の機能の詳細については、Linux マニュアル (man) ページで iptables を参照してください。

オプションとして、ホストに加えてゲスト オペレーティング システムへのルールの適用を有効化することができます。デフォルトでは、ルールがホスト オペレーティング システムのみに適用され、ゲスト オペレーティング システムには適用されません。ルールがゲストにも適用されるよう有効化する際は、すべての既存のルール、インポートされたルール、および追加の新しく挿入されたルールも、すべてのゲスト オペレーティング システムに適用されます (ゲストに割り当てられた同じビジネス ネットワークに基づくルールについて)。

:  
  1. everRun ソフトウェアが使用するポートの詳細については、「システム要件の概要」を参照してください。
  2. everRun TCP および UDP ポートの詳細については、ナレッジ ベースにアクセスして、「TCP and UDP ports used by everRun 7 (everRun 7 で使用される TCP および UDP ポート)」という記事 (KB-2123) を検索してください。「ナレッジ ベースの記事にアクセスする」を参照してください。

iptables を管理するには、まず iptables セキュリティを有効化します (まだ行っていない場合)。

  1. 左側にあるナビゲーション パネルで [基本設定] をクリックして [基本設定] ページを表示します。
  2. [基本設定] ページで [iptables セキュリティ] をクリックします。

  3. [iptables セキュリティの有効化] の横のチェック ボックスをオンにします。

    [iptables セキュリティの有効化] ウィンドウが数分間グレーになります。このウィンドウが再びアクティブになると、[iptables セキュリティの有効化] が選択されています。

デフォルトではルールがホストのみに適用されます。ただし、ホストに加えてゲストにもルールを適用することが可能です。

  1. 左側にあるナビゲーション パネルで [基本設定] をクリックして [基本設定] ページを表示します。

  2. [基本設定] ページで [iptables セキュリティ] をクリックします。

    [iptables セキュリティの有効化] が選択されていることを確認します。

  3. デフォルトでは [ホストに適用] が選択されています。

    [ホストとゲストに適用] を選択して、ルールをホストとゲストの両方のオペレーティング システムに適用します。[ポート管理の有効化] ウィンドウが数分間グレーになります。

    [ホストとゲストに適用] が選択されている場合、すべての既存のルール、インポートされたルール、および追加の新しく挿入されたルールも、すべてのゲスト オペレーティング システムに適用されます (ゲストに割り当てられた同じビジネス ネットワークに基づくルールについて)。

新しいルールの挿入、ルールの削除、デフォルト設定の読み込み、ルールのインポート、またはルールのエクスポートから、適切な操作を選んで続行します。

  1. 左側にあるナビゲーション パネルで [基本設定] をクリックして [基本設定] ページを表示します。

  2. [基本設定] ページで [iptables セキュリティ] をクリックします。

    [iptables セキュリティの有効化] が選択されていることを確認します。

  3. [新しいルールの挿入] ボタンをクリックして [新しいルールの挿入] ポップアップ ウィンドウを開きます。
  4. [新しいルールの挿入] ウィンドウで、次の値を設定します。
    • チェーン — ドロップダウン リストで [INPUT][OUTPUT]、または [FORWARD] を選択します。
    • ルール ID — ルールの処理順序を指定する数値を入力します。入力できる最小値は 1、最大値はチェーンに含まれるルールの総数に等しい値です。[ルール ID] の値は一意でなければなりません。

      他のルールに既に割り当てられている数値を入力すると、既存のルール (および該当する場合はその後のすべてのルール) の番号が 1 つ増え、入力した数値は新しいルールに割り当てられます。したがって、たとえば ルール ID 1 が既に存在する場合、新しいルールに 1 を指定すると、既存のルール ID 1ルール ID 2 に変わり、さらに該当する場合は既存の ルール ID 2ルール ID 3 となります。

    • 共有ネットワーク — 利用可能なすべての共有ネットワークが表示されたドロップダウン リストからネットワークを選択します。

    • プロトコル[udp][tcp]、または [すべて] を選択します。

      [すべて] を選択すると、ポート番号の範囲設定が不要になり、[グループ化] フィールドと [ポート番号] フィールドが非アクティブ (グレー) になります。

    • ターゲット — ルールの仕様に一致するパケットに適用するアクションとして、[ドロップ][受容]、または [拒否] を選択します。
    • ポート番号 (開始) — 範囲の最初のポートには、0 ~ 65535 の範囲内で [ポート番号 (終了)] 以下の数値を入力します。
    • ポート番号 (終了) — 範囲の最後のポートには、0 ~ 65535 の範囲内で [ポート番号 (開始)] 以上の数値を入力します。
    • IP アドレス (開始) — 範囲の最初の IP アドレスには、0.0.0.0 ~ 255.255.255.255 の範囲内で [IP アドレス (終了)] 以下の数値を入力します。
    • IP アドレス (終了) — 範囲の最後の IP アドレスには、0.0.0.0 ~ 255.255.255.255 の範囲内で [IP アドレス (開始)] 以上の数値を入力します。
    • IPv6 アドレス (開始) — 範囲の最初の IPv6 アドレスには、0000:0000:0000:0000:0000:0000:0000:0000 ~ ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff の範囲内で [IPv6 アドレス (終了)] 以下の数値を入力します。
    • IPv6 アドレス (終了) — 範囲の最後の IPv6 アドレスには、0000:0000:0000:0000:0000:0000:0000:0000 ~ ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff の範囲内で [IPv6 アドレス (開始)] 以上の数値を入力します。

    [挿入] をクリックして新しいルールを挿入します。

  5. デフォルトで、挿入されたルールはホストのみに適用されます。ルールをホストとゲストの両方に適用するには、「ホストに加えてゲストにもルールを適用するには」を参照してください。

  6. ページの一番下にある [保存] をクリックするか、保存されていない変更をすべてキャンセルして前回の保存済みセッションの状態にルールを復元するには [リセット] をクリックします。

    保存された新しいルールは [iptables セキュリティ] ページの適切なチェーンに表示されます。

  1. 左側にあるナビゲーション パネルで [基本設定] をクリックして [基本設定] ページを表示します。

  2. [基本設定] ページで [iptables セキュリティ] をクリックします。

    [iptables セキュリティの有効化] が選択されていることを確認します。

    ([ホストに適用] および [ホストとゲストに適用] は、ルールの削除には影響しません。)

  3. 削除するルールを選択します。
  4. 選択したルールの [削除] (一番右の列) をクリックします。

  5. ページの一番下にある [保存] をクリックするか、保存されていない変更をすべてキャンセルして前回の保存済みセッションの状態にルールを復元するには [リセット] をクリックします。

    ルールが削除されると、[iptables セキュリティ] ページに表示されなくなります。

  1. 左側にあるナビゲーション パネルで [基本設定] をクリックして [基本設定] ページを表示します。

  2. [基本設定] ページで [iptables セキュリティ] をクリックします。

    [iptables セキュリティの有効化] が選択されていることを確認します。

  3. ページの一番下にある [デフォルト設定の読み込み] をクリックします。

    次の警告が表示されます:「現在の設定が初期設定でオーバーライドされます。」デフォルト設定を読み込むには [OK] を、読み込みをキャンセルするには [キャンセル] をクリックします。[OK] をクリックすると、[ポート管理の有効化] ウィンドウが数分間グレーになり、[デフォルト設定を読み込み中...] メッセージが表示されます。

  4. デフォルトのルールは、ホストのみに適用されます。ルールをホストとゲストの両方に適用するには、「ホストに加えてゲストにもルールを適用するには」を参照してください。

  1. 左側にあるナビゲーション パネルで [基本設定] をクリックして [基本設定] ページを表示します。

  2. [基本設定] ページで [iptables セキュリティ] をクリックします。

    [iptables セキュリティの有効化] が選択されていることを確認します。

  3. ページの一番下にある [インポート] または [エクスポート] をクリックします。

    • インポートiptables セキュリティ ルールのインポート/リストア ウィザードが開きます。インポートする XML ファイルを参照して選択します。インポートした XML ファイル内で共有ネットワークのタイプに関連付けられている全ルールが、同じタイプをもつシステム上の既存の各共有ネットワーク用に生成されます。

      XML ファイルを選択すると、次のメッセージが表示されます。

      [追加] を選択すると現在のルール セットが維持されます。 現在のルールをすべて消去するには [上書き] を選択します。

      次から適切なボタンをクリックします。

      • 追加 — 選択した XML ファイルは既存の XML ファイルに追加され、既存のルールが維持されます。
      • 上書き — 選択した XML ファイルが既存の XML ファイルを上書きし、既存のルールは消去されます。
    • エクスポート — エクスプローラー ウィンドウが開きます。ローカル システム上で、エクスポートしたルールのファイルを保存するロケーションを参照します。表内のすべてのルールが XML ファイルにエクスポートされた後、選択したロケーションにそのファイルがダウンロードされます。

  4. デフォルトでは、インポートしたルールはホストのみに適用されます。ルールをホストとゲストの両方に適用するには、「ホストに加えてゲストにもルールを適用するには」を参照してください。

  5. ファイルをインポートした場合、[保存] をクリックするか、以前の保存値に戻すには [リセット] をクリックします。

関連トピック

「[基本設定] ページ」

「everRun 可用性コンソール」