at_takuya.sasaki
2017年6月3日 21時28分
Armadillo-IoT G3のファイアーウォールはデフォルトでは、すべて許可(ACCEPT)しています。 実際に使用するネットワーク環境に合わせて、必要なポート以外は閉じる必要がありますが、 今回は、ファイアーウォール設定の一例をご紹介します。
まずは、G3を起動して以下のコマンドで、ファイアウォールの設定を確認してみます。
root@armadillo:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
上記の様にすべてpollcyが許可(ACCEPT)になっています。
今回は、以下のようなネットワーク環境であることを想定してみます。
- 3G回線を通して通信するサーバが1台のみで、固定である
- 有線LANは固定IPアドレス設定で、基本的に信頼のあるPC/サーバとしか接続しない
- 以下のブログの設定を有効にしている
Armadillo-IoT G3/G3L: 有線LANをデフォルトゲートウェイに設定しない方法
設定するファイアーウォールは以下のポリシーにします。
- 3G回線を通して受信するパケットは、特定サーバー以外は拒否
- 有線LANから受信するパケットは信頼性があると想定して、すべて許可
具体的な設定方法は、以下の様になります。
まず、以下のコマンドで受信(INPUT)をすべて拒否(DROP)します。
root@armadillo:~# iptables -P INPUT DROP
これだと3Gで通信する特定サーバからの応答も拒否されますので、 以下のコマンドで特定サーバーのIPアドレスからの受信のみを許可します。 xx.xx.xx.xx は特定サーバのIPアドレスを指定してください。
root@armadillo:~# iptables -A INPUT -s xx.xx.xx.xx/32 -i ppp0 -j ACCEPT
これだけですと、有線LAN(eth0)からのパケットがすべて受信ができなくなるので、 有線LAN(eth0)からの受信はすべて許可します。
root@armadillo:~# iptables -A INPUT -i eth0 -j ACCEPT
ファイアウォールの設定は他にも様々な条件を付けることが可能ですので、Webなどを参考に最適な設定を試してみてください。