DNS/DHCP サーバでサービス ポイント サービスを有効にすると、複数のカスタム ファイアウォール ルールが PSM チェーンに追加されます。追加ルールが
PREROUTING、DOCKER、OUTPUT チェーンに追加されます。SERVICE-POINT チェーンは、サービス ポイント機能と、サービス ポイントの
IPv4 アドレスをターゲットにした受信 DNS クエリがサービス ポイントによって処理されることを保証するために追加されます。
重要:
- サービス ポイントを有効にすると、既存のカスタムファイアウォール ルールは PSM チェーンから削除されます。既存のカスタム ファイアウォール ルールを再追加することはできますが、サービス ポイントを有効にする際に作成されたカスタム ファイアウォール ルールと競合しないようにする必要があります。
- サービス ポイントを無効にすると、既存のカスタム ファイアウォール ルールは復元されます。
重要: Address Manager v9.2.0 では、接続追跡がデフォルトで無効になっていますが、サービス ポイント
サービスを有効にすると、接続追跡は自動的に有効になります。サービス ポイント
サービスを適切に機能させるためには、接続追跡を有効にする必要があります。サービス
ポイントの構成後は、接続追跡を手動で無効にしないでください。
以下のカスタム ファイアウォール
ルールが追加されます。
"iptables -A PSM_CUSTOM_INPUT -p tcp --sport 443 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT -p tcp --dport 443 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT --out-interface docker0 -j ACCEPT",
"iptables -A PSM_CUSTOM_INPUT --in-interface docker0 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT -o lo -j ACCEPT",
"iptables -A PSM_CUSTOM_INPUT -p tcp --sport 80 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT -p tcp --dport 80 -j ACCEPT"
重要: サービス ポイント診断を調査できるようにポート 80
が開いています。診断を活用したくない場合は、以下のコマンドを実行してポート 80 を無効にできます。