SuSEfirewall2の設定(SuSE9.2編)


SuSE には、iptabelsをベースとした SuSEfirewall2 というファイヤウォールがあり、簡易的には YaST の中の「セキュリティとユーザ」の「ファイヤウォール」で設定できますが、一部不具合(Sambaの設定がおかしい)があるほか細かい設定はできません。その結果、YaSTの「システム」の「/etc/sysconfigエディター」を使用しなければならない項目もあるので、「/etc/sysconfigエディター」による設定方法を整理しておくことにしました。

◆ファイヤウォールの形態

SuSEfirewall2によるファイヤウォールの使用形態としては、以下の3形態が考えられます。



◆基本的な設定方法

SuSEfirewall2の設定は、YaST を使って行います。

  1. YaST コントロールセンタを起動し、「システム」の「/etc/sysconfig エディター」を起動する。

  2. 「設定のオプション」 で 「Network」 -> 「WWW」 -> 「Firewall」 -> 「SuSEfirewall2」と開き、必要なパラメータをクリックして選択して「設定」欄で設定し、最後に 「完了」 ボタンを押す。各パラメータの概要を以下に示す。

    No. [パラメータ]

    設 定 概 要
    設定値
    タイプ デフォルト
    1 [ FW_QUICKMODE ]
    "Quickmode"は、購入直後のNATルータのような動作をするモードで、このモードでは外部インタフェースからのすべての接続要求がREJECTされるためサーバ用途では使用できない。
    また、"Quickmode"は、将来削除される機能で推奨されていないため以下では言及しない。
     yesno   no
    2 [ FW_DEV_EXT ]
    ここには、インターネット等の信頼されていないネットワークから接続される全てのデバイスを入れる。
    形態1の場合のインタフェースは、EXT(このパラメータ)のみ設定すればよい。
    形式: インタフェースか構成名のリストを空白区切りで記入する。
    一般的には、"eth0"、もしくは"eth-id-00:e0:4c:8f:22:9a"(この形式がデフォルトで、YaSTのネットワークデバイスのネットワークカードで確認できる。)でよい。
    "auto"を指定すると、デフォルトルートのデバイスが選択される。"auto"は単独で使用すること。
    "any"は、「INT」等で明示しなかった全てのインタフェースを「EXT」として扱うという意味で、他のインタフェース名と併用可。
    例: "eth-id-00:e0:4c:8f:22:9a"、 "ippp0 ippp1"、 "auto"、 "any ppp0"
    注: おやじが使用している「eth0:1」のような別名インタフェースは使用不可。
    string any
    3 [ FW_DEV_INT ]
    形態2または3で動作させる場合の信頼できるインタフェース(家庭内側)等をここで設定する。
    形式: インタフェースか構成名のリストを空白区切りで記入。
    例: "eth-id-00:e0:4c:8f:22:9a", "eth0 eth1"
    string -
    4 [ FW_DEV_DMZ ]
    ここには、DMZを構成する場合のデバイスを入れる。本来、DMZは内部ネットワークをインターネット側から完全に遮断するためのものであり、内部からDMZ(サーバ)にはアクセスさせては意味がない。そのため、自宅サーバでは、DMZが使用されることはまずないと思うので以下では簡略化する。
    例に関しては、/usr/share/doc/packages/SuSEfirewall2/EXAMPLESを参照のこと。
    注意: サービスを定義するためにFW_FORWARDを構成すると共に、FW_ROUTEを"yes"に設定すること。
    形式: インタフェースか構成名のリストを空白区切りで記入。
    例: "eth-id-00:e0:4c:8f:22:9a"、 "tr0"、 "eth0 eth1"
    string -
    5 [ FW_ROUTE ]
    ここでは、インターネットと、DMZおよび内部のネットワークの間のルーティングの許可/不許可を設定。
    内部からのインターネットアクセスをマスカレードしたり、インターネッから内部あるいはDMZへのアクセスを許可するなら、"yes"に設定する。
    このオプションは、/etc/sysconfig/network/optionsでIP_FORWARDを上書きする。
    単独でこのオプションを設定しても駄目であり、内部のネットワークをインターネットにマスカレードしたいなら、FW_MASQUERADEでマスカレードを有効にし、フォワードを許可するためにはFW_FORWARDを設定する必要がある。
    また、FW_DEV_INTとFW_DEV_DMZで、内部とDMZのインタフェースを定義する必要がある。
    yesno no
    (no)
    6 [ FW_MASQUERADE ]
    内部ネットワークから外部へのマスカレードが必要なら設定する。
    設定する場合、同時にFW_DEV_INTかFW_DEV_DMZ、FW_ROUTE、FW_MASQ_DEVの設定が必要。
    マスカレードするということは、インターネット上のサービスを利用する内部のマシンが全てファイアウォールから来るように見える。
    インターネットへプロキシ経由で通信するほうがマスカレードを使用するより安全であるとあるが、それはプロキシサーバが別途存在する場合であり、同一なら意味はない。)
    このオプションには、FW_MASQ_NETSとFW_FORWARD_MASQの設定が必要である。
    yesno no
    (no)
    6a [ FW_MASQ_DEV ]
    マスカレードするインタフェースに関して定義する。
    通常、外部のインタフェースと同じであり、ほとんどのユーザはデフォルト($FW_DEV_EXT)のままでよい。
    例: "ippp0"、"$FW_DEV_EXT"
    string $FW_DEV_EXT
    ($FW_DEV_EXT)
    6a [ FW_MASQ_NETS ]
    インターネットにアクセスできる内部のコンピュータ/ネットワークを制限する場合に設定する。
    形式: 以下を空白区切りで指定。
       <source network>[,<destination network>,<protocol>[,port[:port]]
       プロトコルがicmpであるなら、ポートはicmpタイプとして解釈される。
    例: - "0/0": インターネットへ無制限にアクセス可。
         - "10.0.0.0/8": 10.0.0.0/8のネットワークから無制限なアクセス許可。
         - "10.0.1.0/24,0/0,tcp,80 10.0.1.0/24,0/0,tcp,21": 10.0.1.0/24から任意のネットワーク上のwww/ftpアクセスを許可。
         - "10.0.1.0/24,0/0,tcp,1024:65535 10.0.2.0/24": 10.0.1.0/24のネットワークはTCPの非特権ポート(1024:65535)へのみアクセス許可し、10.0.2.0/24のネットワークは無制限にアクセスを許可。
    string -
    (0/0)
    7 [ FW_PROTECT_FROM_INTERNAL ]
    内部のネットワークから保護する場合に設定する。同時にFW_DEV_INTの設定が必要。
    "yes"に設定すると、ファイアウォールで明らかに許可したサービスにだけアクセスできる。 また、FW_AUTOPROTECT_SERVICESオプションの影響も受ける。
    "no"に設定すると、無制限にどんなサービスにも接続(アタック)できる。
    yesno no
    (no)
    8 [ FW_AUTOPROTECT_SERVICES ]
    全てのネットワークサービスに対し、それぞれ明確な廃棄ルールを作成する場合に設定する。
    "yes"に設定すると、FW_SERVICES_{EXT,DMZ,INT}_{TCP,UDP} で明らかに許容してあるものを除き、このマシン上のすべてのTCPとUDPサービスへのアクセスが全て制限される。
    yesno no
    (no)
    9 [ FW_SERVICES_EXT_TCP ]
    信頼できない外部ネットワークからファイアウォール上のどのTCPサービスへのアクセスを許可するか設定する。
    空白区切りで全てのポートもしくはポート名を入力する。
    FW_SERVICES_*_TCPで、TCPサービス(SMTP、WWW等)を、FW_SERVICES_*_UDPで、UDPサービス(syslog等)を設定する。
    例: ファイアウォールの上のwebサーバにインターネットからアクセスを許可する場合:
    FW_SERVICES_EXT_TCP="www"
    例: DMZからsyslogメッセージを受け取る場合:
    FW_SERVICES_DMZ_UDP="syslog"
    PPTPのためのGREやルーティングのためのOSPFのようなIPプロトコルは、FW_SERVICES_*_IPでプロトコル名か番号を設定する。(/etc/protocols参照)
    形式: 空白区切りのポートのリスト、ポート範囲またはサービス名(/etc/services参照)
    例: "ssh"、"123 514"、"3200:3299"、"ftp 22 telnet 512:514"
    string -
    9 [ FW_SERVICES_EXT_UDP ]
    信頼できない外部ネットワークからファイアウォール上のどのUDPサービスへのアクセスを許可するか設定する。
    FW_SERVICES_EXT_TCPのコメント参照
    例: "53"
    string -
    9 [ FW_SERVICES_EXT_IP ]
    信頼できない外部ネットワークからファイアウォール上のどのIPプロトコルへのアクセスを許可するか設定する。
    通常ファイアウォールでVPN/routingの終端のために使用。
    例: "esp"
    string -
    9 [ FW_SERVICES_EXT_RPC ]
    信頼できない外部ネットワークからファイアウォール上のどのRPCサービスへのアクセスを許可するか設定する。
    下記にもあるように、外部に対してRPCサービスを開けるのは非常に危険であり、基本的に開けるべきではないとおやじは思う。
    ユーザは、rpcサービスを登録することができて、SuSEfirewall2の開いている任意のポートを登録できるので、慎重に使用してください!
    例: "mountd nfs"
    string -
    9 [ FW_SERVICES_DMZ_TCP ]
    FW_SERVICES_EXT_TCPを参照。
    string -
    9 [ FW_SERVICES_DMZ_UDP ]
    FW_SERVICES_EXT_UDPを参照
    string -
    9 [ FW_SERVICES_DMZ_IP ]
    FW_SERVICES_EXT_IPを参照
    string -
    9 [ FW_SERVICES_DMZ_RPC ]
    FW_SERVICES_EXT_RPCを参照
    string -
    9 [ FW_SERVICES_INT_TCP ]
    FW_SERVICES_EXT_TCPを参照
    string -
    9 [ FW_SERVICES_INT_UDP ]
    FW_SERVICES_EXT_UDPを参照
    string -
    9 [ FW_SERVICES_INT_IP ]
    FW_SERVICES_EXT_IPを参照
    string -
    9 [ FW_SERVICES_INT_RPC ]
    FW_SERVICES_EXT_RPCを参照
    string -
    9 [ FW_SERVICES_DROP_EXT ]
    ログメッセージなしで廃棄するパケットを指定。
    形式: 空白区切りで、net,protocol[,port] のリストを設定する。
    例: "0/0,tcp,445 0/0,udp,4662"
         (全てのネットワークからのTCPの445番とUDPの4662番を記録しない場合)
    string -
    9 [ FW_SERVICES_REJECT_EXT ]
    ログメッセージなしで拒否するパケットを指定。 一般的な用法はTCPの113番(ident)。identは、メールを送ったりFTPやIRCサーバに接続するときに使用されるが、廃棄されるとタイムアウトが長くなるので拒否したほうがよい。
    形式:空白区切りで、net,protocol[,port] のリストを設定する。
    例: "0/0,tcp,113"
    string 0/0,tcp,113
    9a [ FW_SERVICES_QUICK_TCP ]
    "Quickmode"は、将来削除されるとのことで推奨されていないので省略。
    string -
    9a [ FW_SERVICES_QUICK_UDP ]
    "Quickmode"は、将来削除されるとのことで推奨されていないので省略。
    string -
    9a [ FW_SERVICES_QUICK_IP ]
    "Quickmode"は、将来削除されるとのことで推奨されていないので省略。
    string -
    10 [ FW_TRUSTED_NETS ]
    信頼できるホストかネットワークとそれらが利用することができるサービス(tcp、udp、icmp)を定義する。
    更なるアクセス制限のために、FW_SERVICES_*の代わりにこれを使用することができるが、IPアドレスは偽装できるので認証としては扱わないこと。また、icmpを許可しないと信頼できるホスト/ネットワークでもpingができないので要注意。
    形式: 空白区切りでnetwork[,protocol[,port]]形式のリストを指定。icmpの場合、port部分はicmpタイプを指定。
    例: "172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
    string -
    11 [ FW_ALLOW_INCOMING_HIGHPORTS_TCP ]
    TCPのどのポートが非特権ポートとしてアクセスできるか指定する。(>1023)
    形式: yes か no もしくは空白区切りのポートのリストを指定。
    誰からでも任意のポートにアクセスを許可するならhighportsを "yes" に、許可しないなら "no"に設定する。
    最も良い選択は、このオプションを設定しないか、'no'に設定することである。
    string -
    11 [ FW_ALLOW_INCOMING_HIGHPORTS_UDP ]
    FW_ALLOW_INCOMING_HIGHPORTS_TCPを参照。
    string -
    13 [ FW_FORWARD ]
    どのゾーンであっても、サービスやネットワークがファイアウォールを通過できるようにする場合に設定する。FW_ROUTEの設定も必要。
    このオプションで、例えばメールサーバへのアクセスを許可できる。
    形式: 空白区切りの下記のようなリスト。
         <source network>,<destination network>[,protocol[,port[,flags]]]
        プロトコルがicmpであるなら、ポートはicmpタイプとして解釈される。
            現在サポートされているフラグは、IPsecトンネルから発するパケットをを意味する'ipsec'である。
    例: - "1.1.1.1,2.2.2.2": 1.1.1.1のホストから2.2.2.2のホストの全てのサービスにアクセス許可。
         - "3.3.3.3/16,4.4.4.4/24": 3.3.3.3/16から4.4.4.4/24のネットワークの全てのサービスへアクセス許可。
         - "5.5.5.5,6.6.6.6,igmp": 5.5.5.5のホストから6.6.6.6のホストへのIGMPメッセージのルーティングを許可。
         - "0/0,0/0,udp,514": udpの514番ポートは常に許可。
         - "192.168.1.0/24,10.10.0.0/16,,,ipsec 10.10.0.0/16,192.168.1.0/24,,,ipsec":
             IPsecトンネルで接続されれば192.168.1.0/24と10.10.0.0/16のネットワーク間で双方向通信を許可。
    string -
    14 [ FW_FORWARD_MASQ ]
    インターネットからアクセスされた時に、内部ネットワークあるいはDMZのサーバにどのサービスをマスカレードするか指定する。FW_ROUTEの設定が必要。
    このオプションで、例えばメールサーバへのアクセスを許可できる。
    ヒント: FW_DEV_MASQが外部のインタフェースに設定されるなら、サービスが内部からアクセスをできるように、内部ネットワークからDMZへFW_FORWARDを設定しなければならない。しかし、これではセキュリティ上DMZの意味がなくなるのでこれは使用するべきではない。
    形式: 空白区切りの下記のようなリスト。
         <source network>,<ip to forward to>,<protocol>,<port>[,redirect port,[destination ip]]
        プロトコルは、tcpかudpのどちらか。
    例: - "4.0.0.0/8,10.0.0.10,tcp,80": 4.0.0.0/8からTCP 80番にアクセスがあったら10.0.0.10にフォワードする。
         - "4.0.0.0/8,10.0.0.10,tcp,80,81": 4.0.0.0/8からTCP 80番にアクセスがあったら10.0.0.10の81番ポートにフォワードする。
         - "200.200.200.0/24,10.0.0.10,tcp,80,81,202.202.202.202": 200.200.200.0/24から202.202.202.202のホストのtcp 80番ポートにアクセスがあったら、10.0.0.10のTCP 81番ポートにフォワードする。
    string -
    15 [ FW_REDIRECT ]
    どのサービスへのアクセスをファイアウォールマシン上のローカルポートにリダイレクトするか設定する。
    このオプションは、全ての内部利用者にSquidプロキシを通してサーフィンさせるか、またはセキュアなwebサーバに入って来るトラヒックを透過的にリダイレクトするのに使用することができる。
    形式: <source network>[,<destination network>,<protocol>[,dport[:lport]]
    プロトコルはTCPかUDPである。dportは元のディストネーションポートであり、lportはトラヒックをリダイレクトするローカルマシン上のポートである。
    ソース/ディストネーションネットワークの前の感嘆符は、指定されたネットワーク以外の全てを意味する。
    例: "10.0.0.0/8,0/0,tcp,80,3128 0/0,172.20.1.1,tcp,80,8080"
    実際にアクセスを許可するためには、FW_SERVICES_*かFW_TRUSTED_NETSでローカルのポートを開けなければならない。
    string -
    16 [ FW_LOG_DROP_CRIT ]
    どの種類のパケットのログを採るか指定。
    "yes"に設定されると、廃棄された'重要である'と考えられるパケットは記録される。 例えば、偽造しているパケットやtcp接続要求、およびある種のicmpタイプを含んでいる。
    yesno yes
    (yes)
    16 [ FW_LOG_DROP_ALL ]
    廃棄された全てのパケットを記録する場合に設定。
    注意: ブロードキャストを記録するには、FW_IGNORE_BROADCAST_* を"no"に設定する必要がある。
    yesno no
    (no)
    16 [ FW_LOG_ACCEPT_CRIT ]
    "yes"に設定されると、受け入れた'重要である'と考えるパッケージは記録される。例えば接続要求(rpc接続要求)、非特権のudp/tcpポートでフォワードされたパケットを含む。
    yesno yes
    (yes)
    16 [ FW_LOG_ACCEPT_ALL ]
    受け入れた全てのパケットを記録する場合に設定。
    注意: "yes"に設定されると、ディスクはすぐにいっぱいになるので特別な場合以外設定しないこと。 また、これはFW_LOG_LIMITを無効にするので基本的設定しないこと。
    yesno no
    (no)
    16 [ FW_LOG_LIMIT ]
    1タイム・ユニットあたりで記録されるパケット量を設定する。
    未指定ならデフォルトで 3/分とし、ポート・スキャンがログファイルをあふれさせるのを防ぐのに使用される。
    レート限界を無効にするには 'no' に設定する。 FW_LOG_ACCEPT_ALLを"yes"に設定するとこのオプションは無効。
    形式: 桁/second, /minute, /hour または /day
    string -
    16 [ FW_LOG ]
    iptablesのログ・オプション。 --log-prefixとprefixキャラクタで終わらなければならない。
    string -
    17 [ FW_KERNEL_SECURITY ]
    カーネルのTCP/IPセキュリティ機能を可能にする場合に設定。"no"に設定されるなら、カーネルオプションが設定される。
    (icmp_ignore_bogus_error_responses, icmp_echoreply_rate,icmp_destunreach_rate, icmp_paramprob_rate, icmp_timeexeed_rate, ip_local_port_range,  log_martians, mc_forwarding, mc_forwarding,rp_filter, routing flush)
    警告: FW_KERNEL_SECURITYとFW_ANTISPOOFを同時に'no'に設定しないこと。他のどんなspoof保護もしないこと。
    yesno yes
    (yes)
    17a [ FW_ANTISPOOF ]
    Anti-Spoofingルールを設定する場合に設定。
    Anti-Spoofingルールは、rp_filterによって必要であるべきではない。ダイナミックなインタフェースで問題を引き起こすだけである。
    警告: FW_KERNEL_SECURITYとFW_ANTISPOOFを同時に'no'に設定しないこと。他のどんなspoof保護もしないこと。
    yesno no
    (no)
    18 [ FW_STOP_KEEP_ROUTING_STATE ]
    ファイアウォールを止めてもルーティング(マスカレードを含む)はそのまま維持する場合に設定。FW_ROUTEの設定が必要。
    ファイアウォールが止まっているので、内部ネットワークへの攻撃に対して開いているかもしれない。
    解決策は、ip-downスクリプトから"/sbin/SuSEfirewall2 stop"か、"/sbin/init.d/firewall stop"を削除すれば良い。
    yesno no
    (no)
    19 [ FW_ALLOW_PING_FW ]
    icmp echo requestへの応答を許可するか設定。つまり、ファイヤウォールに対するpingを許可するか設定。
    yesno yes
    (yes)
    19a [ FW_ALLOW_PING_DMZ ]
    内部及び外部のホストからDMZのホストへのpingを許可するか設定。
    FW_ROUTEの設定が必要。
    yesno no
    (no)
    19b [ FW_ALLOW_PING_EXT ]
    内部及びDMZのホストから外部のホストへのpingを許可するか設定。
    FW_ROUTEの設定が必要。
    yesno no
    (no)
    20 [ FW_ALLOW_FW_TRACEROUTE ]
    ICMP time-to-live-exceededの送信を許可するかどうか設定する。これはトレースルートを使用する場合に設定。
    このオプションは、UnixのトレースルートがUDPの100から33434を使用しているため、ファイアウォールがトレースルートのディストネーションになる場合は十分ではない。また、Windows(TM)のトレースルートは、FW_ALLOW_PING_FWを'yes'に設定する必要がある。
    yesno yes
    (yes)
    21 [ FW_ALLOW_FW_SOURCEQUENCH ]
    ISPからのICMP sourcequenchを許可するか指定。
    "yse"に設定すれば、ファイアウォールはISPからICMP sourcequenchを受けるとネットワーク輻輳が発生していると認識してパケットの送出を制限する。しかし、それはサービスアタックされることにもなるので、どちらを優先するか考える必要がある。
    yesno yes
    (yes)
    22 [ FW_ALLOW_FW_BROADCAST ]
    IPのブロードキャストを許可するかどうかを設定する。
    "yes"に設定すると、ファイアウォールはブロードキャストをフィルタしない。
    ブロードキャストは、Netbios/Samba、Rip、ブロードキャストオプションが使用されているOSPFなどで必要である。
    ブロードキャストを許可せず、そのログを採りたくないないなら、FW_IGNORE_FW_BROADCASTを"yes"設定する。
    形式: "yes" または"no"、あるいは"int"、"ext"、"dmz"の組み合わせとUDPポート番号の組み合わせで指定。
    例: "int 631 "
    string int
    (int)
    22 [ FW_IGNORE_FW_BROADCAST ]
    "yes"に設定すると、廃棄したブロードキャストパケットのログメッセージは記録しない。
    形式: "yes","no","int","ext","dmz"
    string no
    (ext)
    23 [ FW_ALLOW_CLASS_ROUTING ]
    同じクラス間のルーティングをデフォルトで許可する場合に設定。FW_ROUTEの設定が必要。
    例えば、全てのインターネットインタフェースあるいは全ての内部ネットワークインタフェース間のような同じクラスのインタフェース間のルーティングをデフォルトで許可する場合に設定。FW_FORWARD定義をセットアップしなくてもデフォルトで許可される。
    yesno no
    (no)
    25 [ FW_CUSTOMRULES ]
    ファイルからカスタマイズルールをロードする場合に設定する。これは、専門のオプションであり、HELPはない。
    /etc/sysconfig/scripts/SuSEfirewall2-customでカスタマイズルールのファイル例をみて設定すること。
    FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
    string -
    26 [ FW_REJECT ]
    パケットを廃棄する代わりに拒否する場合に設定する。
    廃棄(デフォルト)するとパケットに関する応答を全く送らないので、ポートスキャン攻撃を非常に遅くできる。あらゆるイリーガルなパケットを拒否する場合、接続拒否パケットを送信者に送る。
    yesno no
    (no)
    27 [ FW_HTB_TUNE_DEV ]
    上り帯域を制御用パケットのため使い切らないようにするための設定。
    このパラメータは、モデム自身にTCP ACKパケットやインタラクティブSSHのような特別なパケットを優先制御する機能が無いと意味がないが、こういう機能が存在するのか不明。
    例:ドイツのTDSLのようにDSL装置の上りを128kbit/sに調整したいなら、以下のような値を設定する。
    FW_HTB_TUNE_DEV="ppp0,125"
    128kbit/sではなく、125kbit/sを不思議に思うかもしれないが、モデムのバッファキューイングの関係から最大のアップロード帯域幅に対して5%程度少なく設定すると良いらしい。下記参照。
    http://tldp.org/HOWTO/ADSL-Bandwidth-Management-HOWTO/
    string -
    28 [ FW_IPv6 ]
    IPv6パケットの扱いを指定する。
    ip6は仕様が固まっていないので、IPv4のような実装ができていない。現在、3つの選択がある。
    - "no": IPv6に関して一切ルールが設定されず、全てのIPv6トラフィックも許容する。
    - "drop": 全てのIPv6パケットを廃棄する。 これがデフォルトである。
    - "reject": 全てのIPv6パケットを拒絶する。
    IPv6アドレスに接続するとき、IPv6パケットを廃棄するとタイムアウトが長くなる。回避策については、FW_IPv6_REJECT_OUTGOINGを参照。
    list -
    (drop)
    28a [ FW_IPv6_REJECT_OUTGOING ]
    外部に出るIPv6 パケット拒絶する。
    "yes"に設定すると、IPv6パケット廃棄によるタイムアウトを避ける。 このオプションは、FW_IPv6が"no"ではないにすることである。
    yesno yes
    (yes)
    29 [ FW_IPSEC_TRUST ]
    IPsecパケットの信頼するレベルを設定。
    "int"、"ext"、"dmz"はそれぞれのゾーンを意味し、"yes"は"int"と同じで、"no"は、IPsecパケットが到着するインタフェースと同じゾーンにあることを意味する。
    注意: 明白にIPsecにトラヒックを許容する必要がある。
    例:
    FW_IPSEC_TRUST="int"
    FW_SERVICES_INT_IP="esp"
    FW_SERVICES_EXT_UDP="isakmp"
    FW_PROTECT_FROM_INTERNAL="no"
    list no
    (no)

    注1: 設定欄のタイプは以下のとおり。
        ・yesno: yesまたはnoを設定。
        ・string: 設定概要を参考にパラメータを記述。
        ・list   : 設定概要を参考にパラメータを記述。

    注2: 設定欄のデフォルトは、デフォルトで設定されている値を示す。括弧内は、未設定時にデフォルトとして扱われる設定値を示す。

◆ 設定例

形態1と2の設定例を以下に示します。開放するサービスは、WWW、SMTP、POP3、SSH、FTP、DNS、Samba(Swat)です。形態2では内部ネットワークからのアクセスを分離できるので、Samba(Swat)は家庭内のみアクセス可としました。

No. パラメータ 設定値
形態1 形態2
1 FW_QUICKMODE no no
2 FW_DEV_EXT eth-id-00:11:22:33:44:55/(eth0) eth-id-00:11:22:33:44:55/(ppp0)
3 FW_DEV_INT - eth-id-11:22:33:44:55:66/(eth1)
4 FW_DEV_DMZ - -
5 FW_ROUTE no yes
6 FW_MASQUERADE no yes
6a FW_MASQ_DEV $FW_DEV_EXT $FW_DEV_EXT
6a FW_MASQ_NETS - 192.168.1.0/24
7 FW_PROTECT_FROM_INTERNAL no no
8 FW_AUTOPROTECT_SERVICES yes yes
9 FW_SERVICES_EXT_TCP http(80)
smtp(25)
pop3(110)
ssh(22)
ftp(21)
domain(53)
microsoft-ds(445)
netbios-ssn(139)
swat(901)
http(80)
smtp(25)
pop3(110)
ssh(22)
ftp(21)
domain(53)
9 FW_SERVICES_EXT_UDP netbios-ns(137)
netbios-dgm(138)
domain(53)
domain(53)
9 FW_SERVICES_EXT_IP - -
9 FW_SERVICES_EXT_RPC - -
9 FW_SERVICES_DMZ_TCP - -
9 FW_SERVICES_DMZ_UDP - -
9 FW_SERVICES_DMZ_IP - -
9 FW_SERVICES_DMZ_RPC - -
9 FW_SERVICES_INT_TCP - http(80)
smtp(25)
pop3(110)
ssh(22)
ftp(21)
domain(53)
microsoft-ds(445)
netbios-ssn(139)
swat(901)
9 FW_SERVICES_INT_UDP - netbios-ns(137)
netbios-dgm(138)
domain(53)
9 FW_SERVICES_INT_IP - -
9 FW_SERVICES_INT_RPC - -
9 FW_SERVICES_DROP_EXT - -
9 FW_SERVICES_REJECT_EXT 0/0,tcp,113 0/0,tcp,113
9a FW_SERVICES_QUICK_TCP - -
9a FW_SERVICES_QUICK_UDP - -
9a FW_SERVICES_QUICK_IP - -
10 FW_TRUSTED_NETS - -
11 FW_ALLOW_INCOMING_HIGHPORTS_TCP - -
11 FW_ALLOW_INCOMING_HIGHPORTS_UDP - -
13 FW_FORWARD - -
14 FW_FORWARD_MASQ - -
15 FW_REDIRECT - -
16 FW_LOG_DROP_CRIT yes yes
16 FW_LOG_DROP_ALL no no
16 FW_LOG_ACCEPT_CRIT yes yes
16 FW_LOG_ACCEPT_ALL no no
16 FW_LOG_LIMIT - -
16 FW_LOG - -
17 FW_KERNEL_SECURITY yes yes
17a FW_ANTISPOOF no no
18 FW_STOP_KEEP_ROUTING_STATE no no
19 [ FW_ALLOW_PING_FW yes yes
19a FW_ALLOW_PING_DMZ no no
19b FW_ALLOW_PING_EXT no no
20 FW_ALLOW_FW_TRACEROUTE yes yes
21 FW_ALLOW_FW_SOURCEQUENCH yes yes
22 FW_ALLOW_FW_BROADCAST ext/yes int
22 FW_IGNORE_FW_BROADCAST no no
23 FW_ALLOW_CLASS_ROUTING no no
25 FW_CUSTOMRULES - -
26 FW_REJECT no no
27 FW_HTB_TUNE_DEV - -
28 FW_IPv6 - -
28a FW_IPv6_REJECT_OUTGOING yes yes
29 FW_IPSEC_TRUST no no



Top Pageへ