TOPサーバー構築・運用> フィルタルールを保存する(iptables-saveを使う)
仮想化技術 完全攻略ガイド
セキュアなVM環境を作る

第4回:フィルタリング
 著者:宮本 久仁男   2006/10/16
前のページ  1  2
フィルタルールを保存する(iptables-saveを使う)

   すでにiptables-saveで保存したルールを持ってくる場合には必要ありませんが、iptablesコマンドを実行してルールを作成した場合には、そのルールを保存する必要があります。

   このためには、iptables-saveコマンドを用います。保存結果は標準出力に書き出されるため、例えば/etc/fwrulesというような名前のファイルにこのルールを保存するには以下のように実行します。

# iptables-save > /etc/fwrules


/etc/fwrulesの規則を起動時に適用する

   /etc/network/interfacesに対し、リスト13のような形でpre-upで始まる行を追加します(注5)。

リスト13:/etc/fwrulesを起動時に適用する/etc/network/interfaces
# The primary network interface
auto eth0
iface eth0 inet static
pre-up /sbin/iptables-restore < /etc/fwrules
   address 192.168.149.240
   netmask 255.255.255.0
   network 192.168.149.0
   broadcast 192.168.149.255
   gateway 192.168.149.2

※注5:
詳細は、/usr/share/doc/iptables/README.Debian.gzに記述されています。

   このようにすることで、eth0が有効になる前に、/etc/fwrulesファイルの内容を適用することが可能になります。また、post-downで始まる行を追加すれば、シャットダウン時にルールを/etc/fwrulesに書き出すこともできます。

   これまでにsargeに対して行ったことは、主に以下の3点です。

  • 外部ポートに対する待ち受けをしなくするために、不要なサービスを起動しないようにした
  • SSHサーバーの設定を行った
  • パケットフィルタリングの設定を行い、余計な通信を行わせないようにした

表11:sargeに対して行ったこと
ここまででsargeに行ったコト

   あとは、Xenハイパーバイザーおよびカーネルをインストールすればおわりです。ただ、sargeの標準パッケージにはXenは含まれません。自身でカーネルコンパイルをすることになりますが、この際にiptables関連のモジュールもコンパイルするように設定しておきましょう。
前のページ  1  2

宮本 久仁男
 著者プロフィール
宮本 久仁男
某大手SIerに勤務。OSおよびミドルウェア、アプリケーション開発、インターネットサーバの運用管理、社内技術支援などを経て、現在は動向調査業務に従事する。業務の傍ら、大学にも所属(博士後期課程)し、研究生活を送る。あらゆる分野に興味を持ち、それらについて自学自習で学びつつ、成果をコミュニティにフィードバックしたり、研究/検証テーマを模索したりという日々。Microsoft MVP (Windows - Security)というアワードも受賞しているものの、どこにでもいそうなエンジニア風。
INDEX
第4回:フィルタリング
  iptablesの初期設定を実施する
フィルタルールを保存する(iptables-saveを使う)