特集
» 2008年08月20日 05時39分 公開

Firewall Builderによるファイアウォールの設定Leverage OSS(2/2 ページ)

[Ben-Martin,ITmedia]
SourceForge.JP Magazine
前のページへ 1|2       

 「NAT」タブでは、サーバ通過時にIPトラフィックの送信元およびあて先アドレスをどのように変更するかを設定できる。サーバにこうしたアドレスの変更を行わせるには、一連のルールを設定した上で、左側ペインのツリーから該当するネットワークインタフェースをルールを表すグリッド内の「Source(送信元)」または「Destination(あて先)」のセルにドラッグする。NATルールでは、送信元、あて先、サービスを設定できる。各ルールによって、接続の送信元およびあて先アドレスの変更、あるいは最終的な接続先となるポートの変更が行われる。

NATポリシーの編集 NATポリシーの編集

 次のスクリーンショットにあるように、ネットワークインタフェースは説明的な名前を持ち、画面左側のペインでは設定中のファイアウォール(ここでは、テンプレート1を使って生成したもの)の下に表示される。もちろん、こうした名前やネットワークインタフェースとの対応は変更が可能で、必要に応じて新しいインタフェースを追加することもできる。このスクリーンショットに示されたルールでは、インターネット上のmysshサービスへの接続を試みると、このファイアウォールマシンから接続したかのように、接続の送信元が変換される。

 fwbuilderで特に便利なのが、ファイアウォールおよびNATポリシーにおける特定のサービスの使用状況を確認できる機能だ。画面左側のツリービューからサービスを右クリックして「Where used(使用先)」を選択すると、そのサービスを使用しているNATまたはファイアウォールのルールにジャンプできる画面が下側のペインに現れる。この機能を利用すれば、サービスに接続できる対象を監査したり、そのサービスの使用を許可するNATが実行されているかどうかを確認したりできる。

 サービスだけをそのまま利用するルールの定義では、不便さを感じることが多い。必要な機能を得るために多くのサービスを組み合わせて使うことがあるからだ。fwbuilderでは、「グループ」を定義することで、多数のサービス定義を1つの論理的単位として扱える。例えば、「Useful_ICMP」グループには、ICMP時間超過メッセージ、pingパケット、すべてのICMP未達パケットが含まれる。グループを利用することで、特定のサーバ機能を1つの単位として定義できるわけだ。また、グループを利用して論理的な「機能」単位を作っておけば、許可したい特定の相互作用にどのサービスが利用されているかをいちいち覚えておく必要がなくなる。

 NATおよびルーティングを同じツールで定義できるのは便利である。トラフィックの流れ、フィルタリング、場合によっては拒否についても1つのツールで設定できる。ドラッグ&ドロップ操作やグリッドからのネットワークアドレスやサービスのコピーによってファイアウォールを設定でき、その上テンプレートまで用意されているfwbuilderは、パケットフィルタリングポリシーを素早く作成するのに非常に便利なツールだ。画面左側にあるツリービューの標準カタログには、クラスA、B、Cの非公開サブネット、各種サービスとそのグループ、時間に関する定義などが十分にそろっており、週末を待たずとも気軽にファイアウォールルールを変更できる。

要望リスト

 ユーザーカタログとシステムカタログとで左側のツリービューの色が変わるようになっていると、どちらが表示されているのかが一目で分かってよい。またfwbuilderには、残念ながらあまりユーザーフレンドリとはいえない部分がある。

 例えば、ファイアウォールの構築時にポリシーに誤りがあるとエラーが出るのだが、その場合はエラーの原因となったルールを確認した上で、エラーダイアログを閉じ、そのルールを手作業で選択しなければならない。fwbuilder側でエラーメッセージの内容を解析しておいてメッセージをダブルクリックすると問題のあるルールにジャンプできるようにするとともに、エラーメッセージは履歴を参照できるように画面一番下の新たなペインとして表示してもらった方がありがたい。

 また、ルールを数行上に移動させる場合には、新しいルール番号を手で入力しなくても、そのルールを右クリックして「Move Rule(ルールの移動)」を選択した上でドラッグ&ドロップできるとよい。さらに、fwbuilderからファイアウォールを設置する際には、ユーザー名と接続するサーバを指定して、ファイアウォールポリシーを適用するサーバマシンにSSH経由で接続するようになっているが、単純にiptablesをエクスポートしてもらって、後のことは手作業で行った方がよさそうだ。

Ben Martinは10年以上もファイルシステムに携わっている。博士号を持ち、現在はlibferris、各種ファイルシステム、検索ソリューションを中心としたコンサルティングサービスを提供している。


前のページへ 1|2       

Copyright © 2010 OSDN Corporation, All Rights Reserved.

注目のテーマ