付録C.2 ファイアウォールの通過方向
ファイアウォールの通過方向を次の表に示します。なお,JP1/IMは,パケットフィルタリング型,NAT(スタティックモード)型のファイアウォールに対応しています。
サービス名 |
ポート番号 |
ファイアウォールの通過方向 |
---|---|---|
jp1imevtcon |
20115/tcp |
JP1/IM - View → JP1/IM - Manager(セントラルコンソール) |
jp1imcmda |
20238/tcp |
JP1/IM - View → JP1/Base※1 JP1/IM - Manager(セントラルコンソール) → JP1/Base※1 |
jp1imcss |
20305/tcp |
JP1/IM - View → JP1/IM - Manager(セントラルスコープ) |
jp1rmregistry |
20380/tcp |
JP1/IM - View → JP1/IM - Rule Operation |
jp1rmobject |
20381/tcp |
|
jp1imegs |
20383/tcp |
JP1/IM - Managerがインストールされたマシン内だけの通信となるため,ファイアウォールの設定は不要 |
なし※2 |
IMデータベースのポート番号※3 |
JP1/IM - Manager(物理ホスト) → JP1/IM - Manager(IMデータベース(物理ホスト)) |
IMデータベースのポート番号※4 |
JP1/IM - Manager(論理ホスト) → JP1/IM - Manager(IMデータベース(論理ホスト)) |
|
jp1imcf |
20702/tcp |
JP1/IM - View → JP1/IM - Manager(IM構成管理) |
jp1imfcs |
20701/tcp |
JP1/IM - Managerがインストールされたマシン内だけの通信となるため,ファイアウォールの設定は不要 |
jimmail |
25/tcp※2 |
JP1/IM - Manager → メールサーバ(SMTP) (認証なしの場合) |
587/tcp※2 |
JP1/IM - Manager → メールサーバ(SMTP) (SMTP-AUTH認証の場合) |
|
110/tcp※2 |
JP1/IM - Manager → メールサーバ(POP3) (POP before SMTP認証の場合) |
|
http |
80/tcp※3 |
WWWページ版のJP1/IM - View(WWWブラウザー) → HTTPサーバ |
コネクション確立時は,表中のポート番号を,接続を受ける側(矢印が向いている側)が使用します。接続する側は,OSによって割り当てられる空きポート番号を使用します。この場合に使用するポート番号の範囲は,OSによって異なります。
なお,ファイアウォールサーバマシン上にJP1/IMをインストールする場合は,同一マシン内での通信もファイアウォールによる通信制限の対象となる場合がありますので,この場合,同一マシン内でも表中のポート番号で通信できるように設定してください。
ファイアウォール環境での運用については,マニュアル「JP1/Integrated Management - Manager 構築ガイド」の「8.3 ファイアウォール環境での運用」を参照してください。
(1) ファイアウォールの通過方向の設定(リモートの監視対象ホストの情報を収集する場合)
JP1/IM - Managerで監視対象ホストの情報を収集するには,次の接続方法を利用します。
- Windowsの場合
-
SSH,NetBIOS(NetBIOS over TCP/IP),WMI
- UNIXの場合
-
SSH
そのため,ファイアウォール経由でJP1/IM - Managerと監視対象ホストを配置する場合は,次のようにファイアウォールを通過させる必要があります。
JP1/IM - Manager(jcfmainおよびjcfallogtrap)→監視対象ホスト
(凡例)→ :コネクション確立時の接続方向を示す
- SSH接続の場合
-
JP1/IM - Managerのシステム共通設定のSSHの設定で指定したポート番号でファイアウォールを通過させるようにしてください。
- NetBIOS(NetBIOS over TCP/IP)接続の場合
-
NetBIOS(NetBIOS over TCP/IP)で使用するポートをファイアウォールで通過させる必要があります。設定方法については,ファイアウォール製品のマニュアルまたはファイアウォール製品の開発元に確認してください。
なお,ほかのNetBIOS(NetBIOS over TCP/IP)接続との分離はできません。
- WMI接続の場合
-
WMIは,DCOMを使用しています。DCOMは動的ポート割り当てを使用しているため,DCOMで使用するポートをファイアウォールで通過させる必要があります。設定方法については,ファイアウォール製品のマニュアルまたはファイアウォール製品の開発元に確認してください。
なお,ほかのWMIやDCOM要求との分離はできません。