IP テーブルとポートノッキング入門――1

この記事のURLhttp://japan.internet.com/linuxtutorial/20080215/1.html

基本的な準備

ファイアウォールを攻撃を受けない設定にしたまま自宅のファイルサーバーにアクセスできれば良いのに、と思われたことはあるだろうか。そんな読者諸兄は幸運である。このような機能はどの OS にでもインプリメントできるが、Linux は作業が最も簡単だ。

本稿は、ファイアウォールを厳重にする方法と、自分がその中に入るためのポートノッカーのインプリメント方法を解説する。

今回は、Linux のファイアウォールとサーバー（正確には「SLED 10.1」）を使ってこれを実現する。そう、config ファイルをいじる必要はあるものの、たたき台にするテンプレートは用意するので、コピー＆ペーストして必要な部分を変更するだけでよい。

始める前に、OS のほかにもインストールしなくてはならないものがいくつかある。主に以下のようなものだ。

・C/C++コンパイラとツールパターン
・コモンコードベース（認定用）パターン
・kernel-source パッケージ
・kernel-syms パッケージ

これらのツールは「YaST2」を使ってインストールできるが、インストール CD/DVD を必ず手元に用意し、忘れずに依存を解消しておくこと。

まず最初にしなければならないのは、ネットワークカードを2枚コンフィギュレーションすることだ。そう、「2枚」であることに注意したい。ファイアウォールとして動作するには、ハードウェアに2枚のネットワークカードが装着されている必要がある。

1枚は「内部用」としてコンフィギュレーションを行い、もう1枚は「外部用」としてコンフィギュレーションを行う。これにも YaST2が使える。

ついでに、「外部」用カードのポートはすべてクローズとし、内部用はすべてオープンにしておく。インターネットとのインターフェイスになるのは外部用カードの方なので、ファイアウォールはこちらで動作することになる。

どちらのカードがどちらか分からない場合は、ターミナルを開き、「su -」を実行して「root」になり、「ifconfig」とタイプする。それぞれのカードの MAC アドレス（おそらくは「eth0」と「eth1」）を書き留めたら、これらを YaST2 のコンフィギュレーション画面に表示されている MAC アドレスと比較する。

ISP から固定 IP アドレスをもらっている場合は、これも外部用カードでコンフィギュレーションする。そうなければ、そのカードが DHCP で IP アドレスを取得するよう設定する。この設定は、モデム->SLED サーバー（あるいはファイアウォール）-> ルータ-> 別のコンピュータのようになるはずだ。

カードのコンフィギュレーションに関しては残りの手順は省略するが、それほど難しくはないのでいろいろと試していただきたい。内部用カードの方は、IP アドレスを配布するか、2枚目のカードの IP アドレスをルータのデフォルトゲートウェイに割り当てるよう設定する。最悪でもルータの再インストールかリセットが必要になる程度なので、とにかくいろいろ試していただきたい。

次へ：コンフィギュレーション入門 »

目次 1 基本的な準備 2 コンフィギュレーション入門 3 Windows との接続