JP1/Integrated Management - Central Information Master システム構築・運用ガイド
パケット・フィルタリングは,ファイアウォール経由で使用できるアプリケーションを,特定のアプリケーションだけに制限するための機能です。ファイアウォールを通過する通信パケットを一つずつ確認し,あらかじめ指定した通過条件に一致しないパケットを破棄することで,不正な通信がファイアウォールを通過することを防ぎます。これによって,通過条件に指定されたアプリケーションだけがファイアウォール経由で使用できます。
- <この項の構成>
- (1) システム構成例と通信
- (2) IPアドレス
- (3) パケット・フィルタリングの設定
- (4) JP1/IM - CMの場合の設定例
パケット・フィルタリング通過条件として設定に必要なポート番号,IPアドレス,および通信方向について説明します。
なお,JP1/IM - CMの機能には,前提製品であるJP1/Baseの機能を使用しています。そのため,JP1/IM - CMの通信にJP1/Baseの通信を含めて説明します。
JP1/IM - CMで使用するポート番号については,「付録C.1 JP1/IM - CMが使用するポート番号」を参照してください。
次のシステム構成例によって,使用するポート番号とファイアウォール通過方向(コネクション確立の方向)について説明します。
- 注意
- ファイアウォールのホストでJP1を使用する場合,自ホスト内の通信については,JP1が使うすべてのポートを通過できるよう設定してください。これは,JP1のプロセス同士の通信にポートを使用するためです。
図8-1 システム構成例
- HOST-M1に,HOST-V1のJP1/IM - Viewで接続する。
- HOST-M1の連携先のホストとしてHOST-A1を設置する。
- HOST-M1の認証サーバを,HOST-AUTHに設定する。
- 認証サーバとJP1/IM - CMマネージャー,および連携ホストの通信
この表は,システム構成例の各ホストと,HOST-AUTHの通信に相当します。
JP1/IM-CMマネージャーおよび連携ホスト(JP1/Base) 方向 認証サーバ
(JP1/Base)(ANY) → 20240/tcp (jp1bsuser)
- JP1/IM - ViewとJP1/IM - CMの通信
この表は,システム構成例のHOST-V1と,HOST-M1の通信に相当します。
JP1/IM - View 通過方向 JP1/IM - CM (ANY) → 22301~22304/tcp
- JP1/IM - CMマネージャーと連携ホストとの通信
この表は,システム構成例のHOST-M1と,HOST-A1の通信に相当します。
JP1/IM - CMマネージャー
(JP1/IM - CMおよびJP1/Base)通過方向 連携ホスト
(JP1/Base)(ANY) → 20306/tcp(jp1bsplugin) 20306/tcp(jp1bsplugin) ← (ANY)
JP1/IM - CMおよびJP1/Baseが使うIPアドレスについて説明します。
IPアドレスでフィルタリングする場合や,アドレス変換(NAT)する場合は,ここで説明するIPアドレスを指定してください。
なお,JP1/IM - CMは,前提製品JP1/Baseの機能を使って通信方法を制御しています。設定の詳細については,マニュアル「JP1/Base 運用ガイド」のネットワーク構成に応じたJP1/Baseの通信設定の章を参照してください。
クラスタではない通常のシステムで,論理ホストのセットアップをしていない場合に使用するIPアドレスを説明します。
- 受信側IPアドレス(受信側がANYバインドの場合)
JP1のサービスが接続を受け付けるIPアドレスです。
ホスト名(hostnameコマンドの結果)に対応するIPアドレスを使います。
- 送信側IPアドレス(送信側がANYバインドの場合)
JP1のサービスへ接続する側が使うIPアドレスです。
JP1では自IPアドレスを指定せずにコネクション要求(connect関数を実行)します。この場合,OSの仕様に依存し,接続先に対応したIPアドレスがOSによって割り当てられます。一般に,接続先IPアドレスへパケットを送るときに使われるNICに対応したIPアドレスが割り当てられますが,詳細についてはOSのTCP/IP制御の仕様を確認してください。
クラスタシステムで論理ホスト環境のセットアップをしている場合,通常のシステムと異なり,以下のIPアドレスを使用します。
- 受信側IPアドレス (受信側がIPバインドの場合)
JP1のサービスが接続を受け付けるIPアドレスです。
物理ホスト環境は,物理ホスト名(hostnameの結果)に対応したIPアドレスを使います。論理ホスト環境は,論理ホスト名に対応した論理IPアドレスを使います。
- 送信側IPアドレス(送信側がIPバインドの場合)
JP1のサービスへ接続する側が使うIPアドレスです。
物理ホスト環境は,物理ホスト名(hostnameの結果)に対応したIPアドレスを使います。論理ホスト環境は,論理ホスト名に対応した論理IPアドレスを使います。
パケット・フィルタリングの設定について説明します。
(a) パケット・フィルタリングを設定するには
パケット・フィルタリングを設定するには,次の作業が必要です。
- アプリケーションが使用するポート番号など通信の方式を調べる。
ファイアウォールの通過条件として設定するポート番号やIPアドレスおよび通過方向を確認します。
- ファイアウォールに通過条件を設定する。
すべての通過を禁止してから,特定のアプリケーションの通信だけがファイアウォールを通過できるよう通過条件を設定します。
JP1/IM - CMの場合,先の手順で確認したJP1/IM - CMの通信がファイアウォールを通過できるように設定してください。
(4) JP1/IM - CMの場合の設定例
JP1/IM - View(セントラルインフォメーションマスター・ビューアー)とJP1/IM - CM(サーバ)の間にファイアウォールがある環境を例にとって,パケット・フィルタリングの設定について説明します。
- 例:JP1/IM - View(セントラルインフォメーションマスター・ビューアー)をファイアウォール経由でJP1/IM - CMに接続します。
- JP1/IM - View(セントラルインフォメーションマスター・ビューアー)のマシンのIPアドレスは192.168.19.37とします。
- JP1/IM - CMのマシンのIPアドレスは172.16.100.24とします。
- ポート番号は,JP1の標準のポート番号を使用します。
- JP1の通信の方法を調べる
パケット・フィルタリング設定に必要な情報であるJP1の通信の方法を調べます。ポート番号の一覧とファイアウォールの通過方向の表を示します。
この表は,次のような通信の方法を意味しています。
サービス名 ポート番号 ファイアウォールの通過方向 jp1cmnaming 22301/tcp JP1/IM - View(CM) → JP1/IM - CM jp1cmsessmgr 22302/tcp JP1/IM - View(CM) → JP1/IM - CM jp1cmobjprov 22303/tcp JP1/IM - View(CM) → JP1/IM - CM jp1cminfocol 22304/tcp JP1/IM - View(CM) → JP1/IM - CM
- サービス名とポート番号の欄
JP1が通信で使用するサービス名とポート番号です。JP1/IM - ViewとJP1/IM - CMの通信は,ポート番号22301~22304を使い,通信のプロトコルはTCPであることがわかります。
- ファイアウォールの通過方向の欄
この欄は,接続開始時(コネクション確立時)の通信方向を意味しており,表中の矢印に接続します。接続開始時の方向は,ファイアウォール通過を許可する方向を制限したい時に必要な情報です。この表からは,JP1/IM - View(セントラルインフォメーションマスター・ビューアー)からJP1/IM - CMへの方向で接続することがわかります。
- その他
表には直接書かれていませんが,表の情報とTCPの通信の仕様から考えると次のことがわかります。
TCPは双方向の通信であるため,行き(JP1/IM - View(セントラルインフォメーションマスター・ビューアー)→JP1/IM - CM)と帰り(JP1/IM - View(セントラルインフォメーションマスター・ビューアー)←JP1/IM - CM)の通信があります。通信での行きと帰りのパケットでは,送信元IPアドレス(Source IPアドレス)と送信先IPアドレス(Destination IPアドレス)が入れ替わります。
- パケット・フィルタリングを設定する。
確認したJP1/IM - View(セントラルインフォメーションマスター・ビューアー)とJP1/IM - CMの通信の方法を基に,この通信だけがファイアウォールを通過できるように設定します。
パケット・フィルタリングの通過条件は次のようになります。
(例)フィルタリング条件:JP1/IM - View(セントラルインフォメーションマスター・ビューアー)とJP1/IM - CMの場合
# Source
AddressDestination
AddressProtocol Source
PortDestination
PortControl 1 192.168.19.37 172.16.100.24 TCP (ANY) 22301~22304 accept 2 172.16.100.24 192.168.19.37 TCP 22301~22304 (ANY) accept 3 (ANY) (ANY) (ANY) (ANY) (ANY) rejectこの表は,パケットを確認する条件と条件に一致した場合の制御を示しています。
Controlの列は,ファイアウォールがパケットの通過を許可(accept)するか,拒否(reject)するかの指定です。(ANY)は,OSによって割り当てられる任意の空きポート番号を使うという意味です。
この表のフィルタリング条件に合わせて,ファイアウォールのパケット・フィルタリングを設定します。
なお,具体的な設定方法はファイアウォールによって異なります。使用しているファイアウォールのマニュアルを参照してください。
All Rights Reserved. Copyright (C) 2006, 2007, Hitachi, Ltd.