FAQ : Armadilloでファイアーウォール機能を実現できますか

対象製品: Armadillo-810Armadillo-500 FXArmadillo-500Armadillo-460Armadillo-440Armadillo-420Armadillo-300Armadillo-9Armadillo-240Armadillo-230Armadillo-220Armadillo-210

iptablesコマンドを利用してファイアーウォール機能を実現できます。

Armadilloのデフォルトソフトウェアでの利用

Armadilloのデフォルトソフトウェアでは、ファイアーウォールの実現に iptablesを使用しています。

設定の確認

Armadilloにログインし、コマンドラインでiptablesコマンドに-Lオプションを指定することで、現在の設定を確認できます。


[armadillo ~]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:telnet 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:auth reject-with icmp-port-unreachable 
DROP       tcp  --  anywhere             anywhere            tcp dpts:x11:6010 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:1024:65535 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ntp 
ACCEPT     udp  --  anywhere             anywhere            udp dpts:1024:65535 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere  

iptablesを以下ののように-vオプションも指定して実行すると、もっと詳細的な情報が表示されます。


[armadillo ~]# iptables -L -v

有効にする方法

ファイアーウォール機能を有効にするには、カーネルの設定とAtmark Distの設定の変更で行います。Linuxカーネルでは、Network packet filteringと呼ばれています。

Linuxカーネル

カーネル内のnetfilter機能は以下のカーネル設定画面で選択できます。


Device Drivers  --->
  Networking support  --->
    Networking options  --->
      [*] Network packet filtering (replaces ipchains)  ---> 
        IP: Netfilter Configuration  --->

Atmark Dist

iptablesコマンドは以下のAtmark Dist設定画面で選択できます。


Network Applications  ---> 
  [*] iptables

ファイアーウォール設定

ファイアーウォールを設定するにはiptablesコマンドをArmadilloの起動スクリプト内で呼び出し、必要な設定を行ないます。変更する場合は、Armadilloのデフォルトソフトウェアイメージの設定ファイルを参考にしてください。設定ファイルはAtmark Distのvendors/AtmarkTechnoディレクトリにある以下にあります。

イメージ ファイル名
Armadillo-9とArmadillo-200シリーズ(Base) etc/firewall.conf
etc/init.d/firewall
Armadillo-210、Armadillo-220、Armadillo-240(Recover) etc/init.d/rc

Armadillo-230のRecoverイメージではWEBブラウザ(AT-Admin)で設定できるようになっています。

実装する時に役に立つ情報

Armadilloのソフトウェア開発の基本は各Armadilloのソフトウェアマニュアルで説明されています。Atmark Distの利用方法やアプリケーション(ユーザランド)のカスタマイズ方法についてはAtmark Distの開発者ガイドを参考にしてください。

関連するHowtoやサンプルには、このページの下にあるカテゴリや外部リンクを参考にしてくさい。

アドバイス

Linuxカーネルのnetfilter設定画面でいろいろな機能を選択できるようになっていますが、この機能はネットワークのスループットに影響するため、必要な時に必要なだけ有効にすることをお勧めします。

外部リンク

カテゴリ: