Ubuntu日本語フォーラム
ログインしていません。
お知らせ
#1 2009-03-15 14:45:30
- uchan21
- メンバ
- 登録日: 2008-12-25
[iptables, ufw(Gufw), firestarter]ファイアウォールについて
いつもお世話になっております。ファイアウォールについて教えてください。
環境は、Ubuntu8.10デスクトップです。
まず、色々な情報元から以下のことを認識しています。
1.FirestarterやGufw等を導入しなくても、インストール後の初期状態でファイアウォールは動作している(iptables)。
2.Firestarter、ufwとそのGUIフロントエンドであるGufwは、iptablesの設定を行うフロントエンドである。
(質問1)
1について、ファイアウォールが動作していることはどうやれば確認することが出来ますか?
ある本によると、「ファイアウォール・サービスを提供するのはカーネル内の「Netfilter」という機能です。
iptablesは、Netfilterの設定インタフェースです。」と書かれています。システム・モニタでプロセスを確認
してみたのですが、「Netfilter」も「iptables」もリストの中に出てきません。
また、/etc/network/if-pre-up.d/iptablesというファイルも探してみましたがありません。
(質問2)
2について、firestarterもufw(Gufw)もフロントエンドということは、マスターとなる設定があって、それをこれらのフロントエンドを
通して編集していると解釈出来ます。例えば、firestarterであるルールを追加した場合、その後でGufwを起動すると
firestarterで追加したルールはGufwのルール一覧中にも出てくるでしょうか?私はこれを実際にやってみたのですが、答えはNoでした。
そうすると、「マスターとなる設定があって、それをこれらのフロントエンドを通して編集している」という解釈は間違ってるのでしょうか?
間違ってるとすると、「フロントエンド」の意味がよく分からなくなってしまいます。
あと、firestarterとufw(Gufw)は同時に使わない方がいいのでしょうか?
(質問3)
上の質問とは関係ないのですが、今実際にやろうとしていることについてです。
firestarterで、ポートの範囲を「xxxx-xxxx」のように指定して双方向許可のルールを追加しようとしたところ、
以下のようなエラーが出て登録できませんでした。以前、SSH(22)のルールを登録した時は問題なく出来ていたのですが、
どのような理由が考えられるでしょうか?
受信側のポリシーを適用する際にエラーが発生しました:
External network device eth0 is not ready. Aborting..
Gufwでも試みてみましたが、下記のようなエラーでやはり出来ませんでした。
Error performing operation
どうぞ、よろしくお願い致します。
オフライン
#2 2009-03-16 00:21:09
- のんき
- メンバ
- 登録日: 2007-03-04
Re: [iptables, ufw(Gufw), firestarter]ファイアウォールについて
ufwでファイアーウォールを設定
http://linuxsalad.blogspot.com/
参考になりますか。
私は全然分からないのでURL紹介だけです。すいません。
オフライン
#3 2009-03-16 09:39:04
- uchan21
- メンバ
- 登録日: 2008-12-25
Re: [iptables, ufw(Gufw), firestarter]ファイアウォールについて
のんき様 ありがとうございます。
お知らせ頂きましたサイトは既に知っており、今回の件でも参考に致しました。
ところで、自己レスですが、(質問3)については解決致しました。
GufwのAdvanced ruleのところでポート番号の範囲指定をすることが出来ました。
ただ、教えていただきましたサイトに、「ufwのenableとdisableコマンドでファイアーウォール機能を有効/無効にできます。
有効にすると次回起動時からファイアーウォール機能が自動的に起動します。」とありますが、確かに機能を有効化させると、
Firewall started and enabled on system startup と表示されたのですが、次回起動時に、sudo ufw status
としてみたところ、Firewall not loaded という応答が返ってきました。再度、sudo ufe enabled とすると、
Firewall started and ... となりますが、以降同じことの繰り返しです。
ufwはフトントエンドなので、ファイアウォール機能自体は自動で起動されていると考えてもいいんでしょうかね。
(質問2)については、ここで以下のようなコメントを見つけました。
UFW and Firestarter are both front-ends to the default firewall iptables.
They are not aware of each other and will not reflect each others status.
If you need a firewall I would use ufw over firestarter, firestarter is a dead project.
範囲指定が出来たことから、とりあえず、ufw(Gufw)のみ使おうと思いますが、”フロントエンド”の意味はいまひとつ釈然としません。
オフライン
#4 2009-03-16 12:26:38
- einundzwanzighundertsechs
- メンバ
- 登録日: 2008-12-28
Re: [iptables, ufw(Gufw), firestarter]ファイアウォールについて
もっと詳しい方がいらっしゃると思いますが,「読書」案内程度には役に立てるでしょうか?
man iptables や,man ufw は当然読まれていると思いますし,以下も既にご存知かも知れませんが,
iptables パッケージには Netfilter 開発者による詳しい HTML 文書が同梱されています.
また ufw パッケージのファイルの殆どは Python(一部はシェル)スクリプトであり普通に読むことが出来ます.
ufw パッケージが iptables パッケージのフロントエンドとして何をしているかはスクリプトを読めば解ります.
私の知っている範囲で,「読書」の手がかりを2点 --
システム・モニタでプロセスを確認してみたのですが、「Netfilter」も「iptables」もリストの中に出てきません。
* Packet Filtering(Firewall)は Linux ではカーネルの仕事であり,常駐プロセスは必要ありません.
「マスターとなる設定があって、それをこれらのフロントエンドを通して編集している」という解釈は間違ってるのでしょうか?
* 間違ってはいません.ただし「マスターとなる設定」はカーネルのメモリ内にあり,電源を落とすと消えてしまいます.
オフライン
#5 2009-03-16 16:32:49
- uchan21
- メンバ
- 登録日: 2008-12-25
Re: [iptables, ufw(Gufw), firestarter]ファイアウォールについて
einundzwanzighundertsechs様 ありがとうございます。
「読書」案内程度には役に立てるでしょうか?
はい、十分楽しめそうです(笑)。
iptables パッケージの同梱文書はsgmlですね。まずはこれをhtmlに変換@初体験せねば。
シェルも、まだ勉強始めたばかりですので、こちらも十分楽しめそうです。
とはいえ、
私の知っている範囲で,「読書」の手がかりを2点 --
これで、何となくですが理解出来ました。
どうも、ありがとうございました。
オフライン
#6 2009-03-16 21:01:17
- einundzwanzighundertsechs
- メンバ
- 登録日: 2008-12-28
Re: [iptables, ufw(Gufw), firestarter]ファイアウォールについて
uchan21さん による投稿:
iptables パッケージの同梱文書はsgmlですね。まずはこれをhtmlに変換@初体験せねば。
!? こちらでは Intrepid でも Hardy でも HTML です.
コード:
$ dpkg -L iptables | grep html /usr/share/doc/iptables/html ... 中略 ... /usr/share/doc/iptables/html/packet-filtering-HOWTO.html
それはともかく総本山
http://www.netfilter.org/
に同じ文書があります.
オフライン
2007年10月11日以降の投稿は、クリエイティブ・コモンズ-表示-継承-3.0 (Cc-by-sa-3.0)で提供されます。
著作権等の他者の権利を不当に侵害するような投稿、特定の個人や団体などへの誹謗中傷を含む投稿、個人情報を含む投稿など、違法性のある投稿は行わないでください。
Ubuntu and Canonical are registered trademarks of Canonical Ltd.