VyattaでFirewallを構築してみた② ~パケットフィルタリング ファイアウォール~
Pocket

前回、Vyattaで使用出来るファイアウォールの種類を記述したので、今度は実際に設定を行っていく。

今回は一番基本的な「パケットフィルタリング ファイアウォール」の設定を行っていく。

環境は、こちらの記事でルーティングの確認をしたProxmox上に構築したVyattaを使用する。
今回は基礎的な内容で作成。互いの通信でicmpプロトコルのみを通すファイアウォールを構築してみる。

ファイアウォールポリシー作成

まずは以下のコマンドを実行し、ファイアウォールポリシーを作成する。

set firewall name VyttaFW

ポリシーを作成したら、後はそれに設定するルールを設定していく。
まずは、デフォルト(個別に設定するルール以外)での動作を指定していく。ここでは、デフォルトルールは「drop」とする。

set firewall name VyttaFW default-action drop

次に、デフォルトの動作においてログを取得するよう設定する。

set firewall name VyttaFW enable-default-log

これでファイアウォールポリシーの器とデフォルトの動作が設定できた。

ファイアウォールポリシー ルール作成

ファイアウォールポリシーの中で設定するルールを作成していく。
今回作成するルールはひとつで、「ICMPプロトコルの通信は全て通す」のみ。

以下のコマンドを実行し、ルールを作成する。

set firewall name VyttaFW rule 10 action accept
set firewall name VyttaFW rule 10 protocol icmp
set firewall name VyttaFW rule 10 icmp type 0
set firewall name VyttaFW rule 10 icmp code 0

上記コマンドを実行することにより、icmpプロトコルを通すルールが作成された。

ファイアウォール適用

以下のコマンドを実行し、ネットワークアダプタにファイアウォールを適用させる。

Sponsored Links

set interfaces ethernet eth2 firewall in name VyttaFW

これでファイアウォールの適用ができた。
無事動いているかどうか、ログを確認する。

以下のコマンドを実行する。

show log firewall name VyattaFW

実行した結果が以下。

ログ自体は「/var/log/messages」に記録されているので、catコマンド(less、tailでもOK)とgrepで抽出対象を指定して確認するといい。

今回の設定例はかなり簡単な内容になっている。実際には各ルールにポート番号やネットワークセグメントを指定することができる。

ログにはファイアウォールポリシー名が記述されている。

Pocket

Written by blacknon

インフラ系のSE。一時期はプログラマ。 仮想化とオープンソースに興味あり。一日中寝てたい今日このごろ。 スペインとかで働きたいなぁ…(シエスタがあるので)

Leave a Comment

メールアドレスが公開されることはありません。