VyattaでFirewallを構築してみた① ~設定できるファイアウォールの種類~
Pocket

一度仕事で使ったので、今度はVyattaでファイアウォールを構築してみようと思う。
そこで、まずVyattaで使用されるファイアウォールの種類から把握してみる事にしてみた。

Vyattaのファイアウォール機能は、Linuxで使用されているiptablesで実現されている。通常のLinux上で設定する方法とは異なり、Vyatta上で設定するための専用のコマンドが実装されている。使用出来るファイアウォールは、大きく分けて以下の3つのようだ。

  1. パケットフィルタリング ファイアウォール
  2. ステートフルインスペクション ファイアーウォール
  3. ゾーンベース ポリシー ファイアウォール

通常はfirewallの作成を行った場合、1の「パケットフィルタリング ファイアウォール」が作成される。
それぞれについて、以下に記述していく。

パケットフィルタリング ファイアウォール

送信元、送信先のIPアドレス、ポート番号を元にフィルタリングを行うファイアウォール。Vyatta上では最も手軽に作成出来るファイアウォールで、情報も一番多いと思う。

「パケットフィルタリング ファイアウォール」は、一つのファイアウォールポリシーに複数のルールを設定し、ファイアウォールを適用したいネットワークインターフェイス(NIC)に一対一で設定することで実装する。

大体、上の図のようなイメージになる。

Sponsored Links

ステートフルインスペクション ファイアーウォール

「パケットフィルタリング ファイアウォール」に対し、通信の状態を監視する機能を追加したファイアウォール。

ファイアウォールで最初のパケットを受信した際にルールを検査し,このパケットが許可されれば,パケットに関するステータス,プロトコルなどの意味情報をステート・テーブルに記録していき、その情報を元に動的にポートを開閉してくれる。

ゾーンベース ポリシー ファイアウォール

「パケットフィルタリング ファイアウォール」「ステートフルインスペクション ファイアーウォール」との違いは、そのファイアウォール機能の実装方法である。
上記2つの方法では、”ネットワークインターフェイスに”それぞれのファイアウォールポリシーを付属させるような、インターフェイスを主体とした設定方法だった。
「ゾーンベース ポリシー ファイアウォール」においては、まずゾーンを作成し、そのゾーンに対してファイアウォールポリシーとネットワーク・インターフェイスを付属させるようになっている。

ここでいう「ゾーン」とはそもそもどういう考えなのか。

上の図のように、通常ファイアウォールは様々なネットワークと接続されている。その接続先を「ゾーン」として考えるというのがこのファイアウォールの特徴のようだ。
ここでいうゾーンはあくまでも概念的な意味であり、実際にVyattaで設定するゾーンはこれをイメージした設定項目として考えてもらいたい。

では、Vyattaでの設定項目としてのゾーンはどのようなものなのか。

大体、上のようなイメージになる。

これで、各ファイアウォールの大体のイメージが出来た。次は、実際にファイアウォールの設定をしていく事にする。

Pocket

Written by blacknon

インフラ系のSE。一時期はプログラマ。 仮想化とオープンソースに興味あり。一日中寝てたい今日このごろ。 スペインとかで働きたいなぁ…(シエスタがあるので)

Leave a Comment

メールアドレスが公開されることはありません。