Pocket

前回パケットフィルタリング ファイアウォールの設定を実際に行ってみたので、今回はそのルールの設定例を記述する。

例として提示するのは、ファイアウォールの設定に使用できるネットワーク定義、ポート定義、後はその他ルールの設定例となる。

定義を使用していない場合、Vyattaでファイアウォールのルールを作成する際に各ルールに対象のネットワークを直書きする必要が出てしまう。このため、使用するネットワークセグメント、ポート番号を指定する際、事前にネットワーク定義、ポート定義を設定しておくことで設定を簡素化することができる。

ネットワーク定義

Vyattaでは、ファイアウォールのルールに送信元、送信先のネットワークを設定することができる。
その際に設定を簡素化できるのがネットワーク定義だ。

以下のコマンドでネットワーク定義を作成できる。

set firewall group network-group NETWORK_1 network 192.168.0.0/24
set firewall group network-group NETWORK_1 description “Network Definition”

上の内容は対象のネットワークセグメント、下はその定義がどのようなものなのか、定義内容のメモとなっている。

ポート定義

ネットワーク定義と同様に、ファイアウォールのルール設定時に使用できる。

以下のコマンドでポート定義を作成できる。

set firewall group port-group TCPPORT_1 port 25
set firewall group port-group TCPPORT_1 port 53
set firewall group port-group TCPPORT_1 port 80
set firewall group port-group TCPPORT_1 port 443
set firewall group port-group TCPPORT_1 port 465
set firewall group port-group TCPPORT_1 port 587

ルール定義例

以下に、ルールの定義例を記述する。
ここでの定義例は、このページを参考に記述している。

Sponsored Links

●DNS

set firewall name VyattaFW rule 10 action accept
set firewall name VyattaFW rule 10 protocol udp
set firewall name VyattaFW rule 10 source port 53
set firewall name VyattaFW rule 10 source group network-group TCPPORT_1
set firewall name VyattaFW rule 10 destination group network-group  TCPPORT_2

各行についての簡単な内容が以下。
1行目はこのルールの動き。この例では通信を許可している。
2行目は使用するプロトコル。ここではudpプロトコルでの通信としている。
3行目は使用されるポート番号。DNSなので、53番ポートのみ許可している。ここでポート定義を指定することもできる。
4行目は送信元のネットワークグループ。5行目は送信先のネットワークグループとなっている。
以降の例では、送信元、送信先のネットワークについては記述しないものとする。

●NTP

set firewall name VyattaFW rule 10 action accept
set firewall name VyattaFW rule 10 protocol udp
set firewall name VyattaFW rule 10 source port 123

●HTTP & HTTPS

set firewall conntrack-tcp-loose disable

set firewall name VyattaFW rule 10 action accept
set firewall name VyattaFW rule 10 protocol tcp
set firewall name VyattaFW rule 10 source port 80,443

●DHCP

set firewall name VyattaFW rule 10 action accept
set firewall name VyattaFW rule 10 protocol udp
set firewall name VyattaFW rule 10 destination port 68
set firewall name VyattaFW rule 10 source port 67

●SSH

set firewall conntrack-tcp-loose disable

set firewall name VyattaFW rule 10 action drop
set firewall name VyattaFW rule 10 protocol tcp
set firewall name VyattaFW rule 10 destination port 22
set firewall name VyattaFW rule 10 state new enable
set firewall name VyattaFW rule 10 recent count 5
set firewall name VyattaFW rule 10 recent time 60

set firewall name VyattaFW rule 20 action accept
set firewall name VyattaFW rule 20 protocol tcp
set firewall name VyattaFW rule 20 destination port 22
set firewall name VyattaFW rule 20 state new enable
set firewall name VyattaFW rule 20 state established enable
set firewall name VyattaFW rule 20 state related enable

ただSSH接続を有効化するだけならば、rule 20だけ使用すると良い。

●DOS攻撃対策

set firewall name VyattaFW rule 10 action drop
set firewall name VyattaFW rule 10 protocol tcp
set firewall name VyattaFW rule 10 destination group port-group TCPPORT_1
set firewall name VyattaFW rule 10 recent time 20
set firewall name VyattaFW rule 10 recent count 99
set firewall name VyattaFW rule 10 state new enable


とりあえず以上が一例。その他の設定値については、参考にしたこちらのページを参照してもらいたい。

Pocket

Written by blacknon

インフラ系のSE。一時期はプログラマ。 仮想化とオープンソースに興味あり。一日中寝てたい今日このごろ。 スペインとかで働きたいなぁ…(シエスタがあるので)

Leave a Comment

メールアドレスが公開されることはありません。