強固なセキュリティ環境は最後に

※CentOS3は、 2010年10月 をもってサポートが終了しました。今後このページは参考としてのみご覧ください。

現在構築中の ホスト機 に対する、外部からのアクセス制限を行う設定のステップです。

CentOS3 のファイヤーウォール機能は、通常の クライアント機 に提供されるファイヤーウォール機能と同じで、 パケット を ポート番号 によって選別し、ホスト機への通過、非通過を制御するものです。

CentOS3は WindowsOS などの普及度の高い クライアント 向け OS と違い、不正パケットに対しては非常に強固なOSといえるわけですが、それでも セキュリティホール が存在しないという訳ではありません。特に WAN 空間からのアクセスに対して何も対策をとらなければ、いかにCentOS3といえども不正侵入の餌食になりかねません。

ただ、現在構築しようとしているCentOS3による 公開サーバー は、 LAN 空間に設置され、 ルーター の NAT + IPマスカレード によって外部から全てのパケットが遮断された環境にあり、 ポートフォワーディング によって公開サーバー機の運用に必要なパケットだけを通過させる設定を行うことが前提になっています。

従ってこの場合、既にルーターで パケットフィルタリング が行われた状態で公開サーバー機にアクセスが行われますので、わざわざ公開サーバー機自身にファイヤーウォールを設置する必要はないでしょう。

ルーターのポートフォワーディングを用いる場合のセキュリティ環境

またこの方法は、WAN空間からの パケットフィルタリングのすべてをルーターに任せているという形になるため、公開サーバーは同じ サブネット に設置されている別のホスト機からはパケット制限なしにアクセスできることになります。

従って、公開サーバー機を直接操作せず、サブネット内の別のクライアント用パソコンなどからリモート接続で操作する場合には、パケットフィルタリングのことを意識することなく作業できるというメリットがあります。

一方で、CentOS3自身のファイヤーウォール機能でパケットフィルタリングを行う場合、ルーターでのポートフォワーディングによるパケット制御は 理屈としては 不要です。

つまりこの場合には、ルーターWAN側からのすべてのパケットを公開サーバー機に通す、いわゆる DMZ 設定で構わないことになります。

DMZ+ファイヤーウォールを用いる場合のセキュリティ環境

ただしこの場合には、公開サーバー機は同じサブネット内にあるホスト機に対してもパケットフィルタリングを行ってしまいますので、LAN内のパソコンからリモート接続で自由自在に操作する、というわけにはいかなくなります。

もちろん、ルーターにポートフォワーディング設定を行い、なおかつ公開サーバー機にパケットフィルタリングをかけても、特に不都合はありません。

それは例えば一つのドアに二つの鍵を取り付けるのと同じことで、万が一どちらかの設定に誤りがあったり、正常に機能しなかったりした場合には有効なセキュリティ対策といえます。

ただしこの場合には、単純にルーターだけにポートフォワーディング、あるいは公開サーバー機にだけファイヤーウォール、というセキュリティ環境に比べると、その分設定の手間は増えます。

特に構築途上の公開サーバー機では、この部分の設定を何度も変更しなければならなくなりますから、その都度二種類の設定変更を行うのはとても面倒です。

従ってこのような「二重のセキュリティ対策」は、余分な手間をかけないためにも、公開サーバーとしての一通りの設定が終わった後に行うべきであって、この段階ではどちらか一方にしておくべきでしょう。

ファイヤーウォールの設定

以下に、 "ファイヤーウォール" の初期画面を示します。

"ファイヤーウォール"画面1

もし、 ルーター で ポートフォワーディング を設定するのであれば、 (1) の ファイヤーウォールなし(O) を選択して、 次(N) を左クリックして次の "追加言語サポート" のステップへ進んでください。

"ファイヤーウォール"画面2

ルーターの 公開サーバー 機に対する設定タイプがポートフォワーディングではなく、DMZの場合には、 (1) で ファイヤーウォールを有効にする(E) にチェックを入れて、以下の項目を設定することになります。

(2) には、一般に公開サーバーで利用されることの多い Well-Knownポート が抜粋してありますから、この中に有効にしたいサービスがあれば、簡単にパケット通過の設定ができます。

"WWW( HTTP )" は Webサーバー によるコンテンツの公開、 " FTP " は FTPサーバー の運用、 " SSH" 及び " Telnet " は外部からのリモート接続、 "Mail( SMTP )" は メールサーバー へ外部からの電子メールを受け入れ、の各設定で、これらの中から項目にチェックを入れると、関係するパケットが ホスト機 へ通過するようになります。

その他の ポート番号 のホスト機への通過については、 (3) の欄に、 "ポート番号(種類): プロトコル " という書式でタイプして設定します。

例えば、電子メールの配送サービスとして、 POP3 と IMAP4 を有効にしたい場合は、

110:tcp,143:tcp

または

pop3:tcp,imap:tcp

のように記述します。

"ファイヤーウォール"画面3

(4) では、ファイヤーウォールを 設定しない NIC を指定することができます。

ここでチェックを入れたNICは、 (1) 、 (2) 、 (3) の設定に関係なく、すべてのポート番号、プロトコルのアクセスが許可されることになります。

なぜこのような設定項目が存在するのは不審に思われるかもしれませんが、ちゃんと理由があります。

CentOS3は自分自身をルーターとして動作させることができます 。

つまりこの (4) は、例えばホスト機に二つのNICを搭載して、それぞれを WAN 空間側と、 LAN 空間側に設置してルーターとして機能させる場合に、アクセス制限が不要なLAN側のNICに対して、「全パケット通過」という設定を設定を行うための項目、というわけです。

従って、NICを一つしか使用していない今回のケースでは意味のない項目のように思えますが、そういう場合には必要になる設定項目ということです。

設定が終わったら、 次(N) を左クリックして次の "追加言語サポート" のステップへ進んでください。

ホスト情報の表示　 　全ページリストへ　 　お便利用語リスト