カスタム ファイアウォール ルール - BlueCat Integrity - 9.5.0

管理ガイド

Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

DNS/DHCP サーバでサービス ポイント サービスを有効にすると、複数のカスタム ファイアウォール ルールが PSM チェーンに追加されます。追加ルールが PREROUTING、DOCKER、OUTPUT チェーンに追加されます。SERVICE-POINT チェーンは、サービス ポイント機能と、サービス ポイントの IPv4 アドレスをターゲットにした受信 DNS クエリがサービス ポイントによって処理されることを保証するために追加されます。
重要:
  • サービス ポイントを有効にすると、既存のカスタムファイアウォール ルールは PSM チェーンから削除されます。既存のカスタム ファイアウォール ルールを再追加することはできますが、サービス ポイントを有効にする際に作成されたカスタム ファイアウォール ルールと競合しないようにする必要があります。
  • サービス ポイントを無効にすると、既存のカスタム ファイアウォール ルールは復元されます。
重要: Address Manager v9.2.0 では、接続追跡がデフォルトで無効になっていますが、サービス ポイント サービスを有効にすると、接続追跡は自動的に有効になります。サービス ポイント サービスを適切に機能させるためには、接続追跡を有効にする必要があります。サービス ポイントの構成後は、接続追跡を手動で無効にしないでください
以下のカスタム ファイアウォール ルールが追加されます。
"iptables -A PSM_CUSTOM_INPUT -p tcp --sport 443 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT -p tcp --dport 443 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT --out-interface docker0 -j ACCEPT",
"iptables -A PSM_CUSTOM_INPUT --in-interface docker0 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT -o lo -j ACCEPT",
"iptables -A PSM_CUSTOM_INPUT -p tcp --sport 80 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT -p tcp --dport 80 -j ACCEPT"
重要: サービス ポイント診断を調査できるようにポート 80 が開いています。診断を活用したくない場合は、以下のコマンドを実行してポート 80 を無効にできます。
  1. 次のコマンドを実行します。
    custom_fw_rules--export-rules fw.txt
  2. ポート 80 を利用している 2 つのルールを削除し、fw.txt ファイルを変更します。
  3. 次のコマンドを実行します。
    custom_fw_rules--import-rules fw.txt