さくらのクラウドにはパケットフィルタ(=ファイアウォール)が設定できます。
ちょい設定に苦戦したんでメモを残します。
参考になったら嬉しい。
前提
Linuxサーバ, web + DB を1台で運用を想定
やること
プリセットから選択:不要ポートのフィルタ(Linux用) を使って、不要な設定は消す。
詳細
パケットフィルタの追加
さくらのクラウド(コントロールパネル) > ネットワーク > パケットフィルタ
- プリセットから選択:不要ポートのフィルタ(Linux用)
- SSH_Source_Network:(指定したIPのみ接続許可、127.0.0.1は例)
- NTP_Source_Network:(指定したIPのみ接続許可、127.0.0.1は例)
- 名前:(任意, testは例)
- 「作成」ボタン押下
パケットフィルタの編集
パケットフィルタを再度開く > (作った名前) > ▼ > 詳細 > (タブ)ルール
変更前
変更後
- 削除
- ポート:110 = POP3(電子メール受信サーバ)
- ポート:25 = メール配達(SMTP)
- ポート:123 = NTP
- プロトコル:fragment = 大きいパケットをfragment(分割)した2パケット目以降にマッチ
- 追加
- ポート:443 = https
「反映」ボタン押下前
忘れずに「反映」ボタン押下
「反映」ボタン押下後
作ったパケットフィルタはサーバのNICに割り当てて使用します。
以上です。
情報源
補足
プロトコル
- TCP: 「安全性重視で会話のキャッチボールをしましょう」な方式
- UDP: 「スピード重視で会話のキャッチボールをしましょう」な方式
- ICMP: pingで使ってる
- fragment: fragment(分割)されたIPパケットの2パケット目以降にマッチします。
1パケット目はTCPまたはUDPで指定したポート番号でのマッチが可能です。 - IP: ip指定
- 補足
ポート番号
- ポート (TCP)110 電子メール受信サーバがPOP3で電子メールクライアントに受信メールを配送するために用いる。
- ポート (TCP)25 メール配達(SMTP)
- ポート (UDP)68 DHCP
- ポート (UDP)123 NTP
- 補足
-
68番ポートとは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
DCHPのやり取りで使われる(クライアント側の)ポートだよ
-
123番ポートとは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
NTPのやり取りで使われるよ
-
68番ポートとは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典