さくらのクラウドのパケットフィルタ設定

さくらのクラウドにはパケットフィルタ（=ファイアウォール）が設定できます。
ちょい設定に苦戦したんでメモを残します。
参考になったら嬉しい。

前提

Linuxサーバ, web + DB を1台で運用を想定

やること

プリセットから選択：不要ポートのフィルタ（Linux用）　を使って、不要な設定は消す。

詳細

パケットフィルタの追加

さくらのクラウド（コントロールパネル） > ネットワーク > パケットフィルタ

• プリセットから選択：不要ポートのフィルタ（Linux用）
• SSH_Source_Network：（指定したIPのみ接続許可、127.0.0.1は例）
• NTP_Source_Network：（指定したIPのみ接続許可、127.0.0.1は例）
• 名前：（任意, testは例）
• 「作成」ボタン押下

パケットフィルタの編集

パケットフィルタを再度開く > (作った名前) > ▼ > 詳細 > (タブ)ルール

変更前

変更後

• 削除
  • ポート：110 = POP3（電子メール受信サーバ）
  • ポート：25 = メール配達（SMTP）
  • ポート：123 = NTP
  • プロトコル：fragment = 大きいパケットをfragment(分割)した2パケット目以降にマッチ
• 追加
  • ポート：443 = https

「反映」ボタン押下前

忘れずに「反映」ボタン押下　

「反映」ボタン押下後

作ったパケットフィルタはサーバのNICに割り当てて使用します。
以上です。

情報源

• パケットフィルタ | さくらのクラウド ドキュメント
• パケットフィルタを活用したサーバのセキュリティ対策 – 「さくらのクラウド入門」(9) | さくらのナレッジ

補足

プロトコル

• TCP: 「安全性重視で会話のキャッチボールをしましょう」な方式
• UDP: 「スピード重視で会話のキャッチボールをしましょう」な方式
• ICMP: pingで使ってる
• fragment: fragment(分割)されたIPパケットの2パケット目以降にマッチします。
  　1パケット目はTCPまたはUDPで指定したポート番号でのマッチが可能です。
• IP: ip指定
• 補足
  • 「TCP」と「UDP」の違い｜「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
  • ICMPとは｜「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
  • 第10回　IPパケットの構造とIPフラグメンテーション：基礎から学ぶWindowsネットワーク（3/3 ページ） - ＠IT

ポート番号

• ポート (TCP)110 電子メール受信サーバがPOP3で電子メールクライアントに受信メールを配送するために用いる。
• ポート (TCP)25 メール配達（SMTP）
• ポート (UDP)68 DHCP
• ポート (UDP)123 NTP
• 補足
  • 68番ポートとは｜「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

    DCHPのやり取りで使われる（クライアント側の）ポートだよ

  • 123番ポートとは｜「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

    NTPのやり取りで使われるよ