Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

福岡若手Sier_bcAdvent Calendar 2019Day 6
@ECOHOHOHOO

ワイ「ファイアウォール...?#後編」

Last updated at Posted at 2019-12-06

ワイ「ファイアウォール...?#前編」
の続きです。

前回は、ファイアウォールについてザックリと学んだ。
IPアドレスとポート番号について通信を制限できることが分かった。

本記事では、実際にはどんな時に設定するのか?と言うところを考えていく。
特に、実際に業務上必要になったところを触れていきたい。

なお、ファイアウォールと言う単語を初めて聞いた時のワイは、何かとてつもなくカッコイイものだと思っていたのは内緒。

Case1 ping(疎通確認)

言わずと知れた疎通確認に使うコマンドping。
クライアントからサーバに、接続しようとした時に(SSHやHTTPSなんでもいいけど)、なぜか繋がらない!と言う時に使うことが多い。

ネットワーク的にそもそも到達可能か?的な観点で使うけれども、WindowsOSではファイアウォール機能のデフォルトで破棄されるはず。

なので、ping応答しないんだけど。。。。となったらまずは相手のサーバのファイアウォール設定を確認した方が良い。

なお、試しに”qiita.com”のWEBサーバにpingを打つと、何も帰ってこない。
”www.google.com”とかに向けてping打つと帰ってくる。

$ ping www.google.com
PING www.google.com (216.58.197.132): 56 data bytes
64 bytes from 216.58.197.132: icmp_seq=0 ttl=51 time=47.465 ms
64 bytes from 216.58.197.132: icmp_seq=1 ttl=51 time=64.642 ms
・・・
$ ping qiita.com
PING qiita.com (13.114.166.234): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
・・・

ちなみに、ping応答を無条件に許可すると言うのはセキュリティ上の論争があるようで、組織のセキュリティポリシーに準じたほうがよさそう。

Case2 HTTPS,SSH,DB接続(よく使うやつら)

ここら辺んは頻出するので、大体見落とされることはやや少なめだと感じています。
なお、ポート番号はデフォルトの値を書いてます。

■HTTP/HTTPS:80/443port
WEBサービスを動かそうと思ったら、該当ポートを解放する必要があります。
そういえば、先日もできたばかりのWEBサービスを導入したけど接続できないと言う問い合わせを受けた。(若手メンバーから)
普通にWindows Firewallで443port空いてなかったよ!

■SSH:22port
SSH接続しようと思ったら、該当ポートを解放する必要があります。

■DB接続:1521/5432/3306port
DBへ接続しようと思ったら、該当ポートを解放する必要があります。
なお、ポート番号は製品によって違います。
Oracle DB(1521)
PostgreSQL(5432)
MariaDB/MySQL(3306)

Case3 FTP、SMB接続(珍しいやつら?)

業務上では時々しか扱うことがなかった、プロトコル達。
■FTP
ファイル転送とかしたい時に、該当ポートを解放する必要があります。
FTPでは2つの接続モードがあって、以下のサイトがとてもわかりやすいです。
http://naoberry.com/tech/ftp-active-pasv/

まとめると、サーバ側はこんな感じです。
・Active
 21port
 *ただしクライアント側の任意のポートへ接続しに行く

・Passive
 21port + 1024以上の任意のポート

とてもややこしいので要注意です。

■SMB:445port
Windowsファイル共有したい場合、該当ポートを解放する必要があります。
プロトコルのバージョンが低いと、UDPの137、138、TCPの139portも解放する必要があるみたいです。

#話を戻してクラウドサービスの場合
前の記事では記載したが、仮想マシンを作成するにあたり、主要なクラウドサービスを利用する場合、OSレベルでのファイアウォールだけでなく、サブネットやインスタンス毎にもファイアウォールが存在する。

要はファイアウォールの設定は2回必要だよと言うことになる。

じゃあ、2回作業すればイイじゃん!と言う話ではあるが、手順が増えたりした場合、都度整理しておかないと作業ミス・作業漏れが発生することが多いです。

また、ファイアウォールの設定に限らないが、自動化できるものは自動化して、人の手がいるものは手順書の作成などに注力しましょう。

#終わりに
今の時代はファイアウォールの設定1つだけやればいいというのはあまりないと思うので、読んだ人が混乱しないようになることを祈ります。

ワイは混乱したんや・・・。

以上。

2
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?