スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

ファイアーウォールの設定…を、したい。

俺がファイアーウォールをどのように設定しているのか、文書として書くのは簡単なんだ。

しかし、それを公開するとなると、設定の穴を突かれてうちのシステムがクラッキングされるなんてことも考えられなくもないわけでしょ?だからちょっと書くのをためらっていたんだけど、とりあえず書いておきましょう。備忘録をかねて。間違いがあったらやさしく指摘してくれる人がいることを信じて。



ファイアーウォールというのは直訳すれば防火壁の事だけど、そこから転じてコンピュータの通信を制御して不正アクセスからコンピュータやローカルネットワークを守る機能の事をいう。具体的には、パケットと呼ばれる通信用のデータのまとまりの出入りを監視して、場合によって許可したり拒否したり破棄したりということをやってくれるんだそうな。

で、そのパケットはポートという概念を通してやり取りされる。ポートとは港という意味から転じてコンピュータ用語においては接続端子の事を指す言葉だけど、この場合におけるポートは実体を持つものではなくて概念的なもので、コンピュータ内に存在する様々な通信関係のプログラムのうちひとつを指定して通信するために存在するらしい。

ポートの番号は通信の方式(通常インターネット通信にはTCPやUDPというものが使われるそうだが、これ自体がどういったものなのかは俺もよく知らない)毎に0から65535まであるのだが、通信をするプログラムは全てそのどこかに割り振られているというわけだ。「ポートが開いている・閉じている」というのはそのポートを使って通信することが許可されている・いないということだそうだ。



じゃあ、Debian etchでファイアーウォールが全く未設定の状態でどのポートが開いていてどのポートが閉じているのか、確認してみましょう。ポートスキャンといってポートひとつひとつ虱潰しに信号を送って反応をうかがい(許可されていれば許可の反応があるし、拒否されれば拒否の反応がある。破棄されると反応がない)開いているものを探すという方法があり、それをやってくれるサイトがあるみたいなのでアクセス。http://www.planet-security.netここのFirewall checkというところ。

*このポートスキャンという行為はこれ自体が不正アクセスとみなされかねないので、自分の管理しているシステム以外にはやらないように!

ここのポートスキャンは狙われやすいポートに限ったチェックの様だが、ひとつ開いているポートが見付かった。



このポートで何の通信をしているんだろう?管理者が意図しない所で通信が行われているなんて気味が悪いから、必要な通信以外のポートは全て閉じちゃいたいんだけど。



というわけでファイアーウォールを動かすことを本格的に考えなくちゃならないわね…。しかし、そこはインターネット接続ができる環境を前提としているLinux、ファイアーウォールが用意されていないわけがない。カーネルのバージョン2.4以降(Debian etchでは2.6.18)にはnetfilterというパケットフィルタリング機能が付いている。

じゃあ、これの設定をしましょ…。設定はiptablesというツールから行うらしい。ググってみると…またコマンドを手打して設定しなきゃならないのか…もういいや、がっかりするのにも慣れた。使い方を覚えてやろうじゃない。



とりあえずやるべき事。

必要なポートを開ける。
それ以外のポートを塞ぐ。

単純明快だ。

続く

関連記事

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

ざっぱー

Author:ざっぱー
(この画像について)

当ブログについて
メール
(このメールアドレスへの特定電子メール (迷惑メール) の送信はお断りします)

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。