iptablesで商用のファイアウォールを置き換える：Leverage OSS（1/3 ページ）

iptablesを擁するフリーの代替ファイアウォール「Netfilter」でエンタープライズファイアウォールが実現できることを事例を踏まえて説明しよう。

[John-C.-A.-Bambenek，Open Tech Press]

　IT予算が厳しくなると、マネジャーはコスト削減を迫られる。どんなテクノロジーであれ、サービスの契約は高くつく。ファイアウォールも例外ではない。Netfilterは、パケットフィルタリングプログラムiptablesを擁するフリーの代替ファイアウォールだ。商用ソリューションのような契約サービスやファイアウォール設定を簡単に変更できるインタフェースは用意されていないが、ファイアウォール処理において安定したパフォーマンスと実力を発揮し、リポートおよびレスポンスの機能を強化するアドオンが利用できる。

　iptablesでエンタープライズファイアウォールが実現できることを示す事例として、イリノイ大学アーバナシャンペーン校（University of Illinois at Urbana-Champaign）でわたしが管理しているネットワークを紹介しよう。このネットワークは2000におよぶデバイスをサポートしており、2つのファイアウォールゾーン（DMZおよびセキュア）を有する1Gビットのアップリンクを備えている。1日のアウトバウンド帯域幅は平均して100Gバイトほどだ。このネットワークを保護するのがiptablesを実行している2台のファイアウォール専用マシンで、それぞれは3枚のネットワークカード（2枚はファイアウォールのブリッジング用、1枚は管理アクセス用）を備え、1Gバイトのメモリと1.5GHzのシングルコアプロセッサで動作している。この場合、演算処理能力はそれほど重要でないため、ローエンドのCPU搭載マシンを利用することで費用の節約が可能だ。

　ファイアウォールに起因した遅延が生じることもなく、不正なトラフィックのブロックについても期待通りの働きをしてくれる。また、ファイアウォールに適切な調整を施すと、ソフトウェアの問題によるダウンタイムも発生しなくなった。

　ただ、幾つか注意すべき点がある。定期的なスキャンを実施している、あるいは高トラフィックネットワーク上にあるファイアウォールでは、接続テーブルが一杯になってしまう可能性がある。この問題を解決するには、「net.ipv4.ip_conntrack_max」というカーネルパラメータの値を大きく（わたしは131071にしている）、「net.ipv4.tcp_keepalive_time」の値を小さくする（3600が適切）。ファイアウォールに十分な空きメモリがある限りは、この設定で問題はないはずだ。後は何も考えなくても満足のいく動作をしてくれる。結果として、パケット損失がなく遅延を感じさせない、非常に可用性に優れた（ハードウェアに問題がなければの話だが）ファイアウォールが構築できる。