9.3.1　ファイアウォールの基礎知識

(a)　パケット・フィルタリングを設定するには

パケット・フィルタリングを設定するには，次の作業が必要です。

1. アプリケーションが使用するポート番号など通信の方式を調べる。

   ファイアウォールの通過条件として設定するポート番号やIPアドレスおよび通過方向を確認します。

   JP1/IMの場合，この章の説明とマニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」の「付録C　ポート番号」の説明を参照して，通信方式を確認してください。

2. ファイアウォールに通過条件を設定する。

   まず，すべての通過を禁止してから，特定のアプリケーションの通信だけがファイアウォールを通過できるよう通過条件を設定します。

   JP1/IMの場合，先の手順で確認したJP1/IMの通信がファイアウォールを通過できるように設定してください。

(b)　JP1/IMの場合の設定例

ここでは，JP1/IM - ViewとJP1/IM - Managerの間にファイアウォールがある環境を例に，パケット・フィルタリングの設定について説明します。

例：JP1/IM - Viewをファイアウォール経由でJP1/IM - Managerに接続します。

• JP1/IM - ViewのマシンのIPアドレスは192.168.19.37とする。

• JP1/IM - ManagerのマシンのIPアドレスは172.16.100.24とする。

• ポート番号は，JP1の標準のポート番号を使う。

  図9‒5　パケット・フィルタリングの設定例

1. JP1の通信の方法を調べる。

   まず，パケット・フィルタリング設定に必要な情報である，JP1の通信の方法を調べます。マニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」の「付録C.2　ファイアウォールの通過方向」の説明を参照すると，JP1/IMが使用するポート番号について次のような表で説明されています。

   表9‒9　ファイアウォールの通過方向

   サービス名	ポート番号	ファイアウォールの通過方向
   jp1imevtcon	20115/tcp	JP1/IM - View → JP1/IM - Manager（セントラルコンソール）
   jp1imcmda	20238/tcp	JP1/IM - View → JP1/Base※1 JP1/IM - Manager（セントラルコンソール） → JP1/Base※1
   jp1imcss	20305/tcp	JP1/IM - View → JP1/IM - Manager（セントラルスコープ）
   jp1rmregistry	20380/tcp	JP1/IM - View → JP1/IM - Rule Operation
   jp1rmobject	20381/tcp
   jp1imegs	20383/tcp	JP1/IM - Managerがインストールされたマシン内だけの通信となるため，ファイアウォールの設定は不要
   jddmain	20703/tcp	WWWブラウザー→ JP1/IM - Manager（インテリジェント統合管理基盤）
   なし※2	IMデータベースのポート番号※3	JP1/IM - Manager（物理ホスト） → JP1/IM - Manager（IMデータベース（物理ホスト））
   	IMデータベースのポート*番号※4	JP1/IM - Manager（論理ホスト） → JP1/IM - Manager（IMデータベース（論理ホスト））
   jp1imcf	20702/tcp	JP1/IM - View → JP1/IM - Manager（IM構成管理）
   jp1imfcs	20701/tcp	JP1/IM - Managerがインストールされたマシン内だけの通信となるため，ファイアウォールの設定は不要
   jimmail	25/tcp※2	JP1/IM - Manager → メールサーバ（SMTP）　（認証なしの場合）
   	587/tcp※2	JP1/IM - Manager → メールサーバ（SMTP）　（SMTP-AUTH認証の場合）
   	110/tcp※2	JP1/IM - Manager → メールサーバ（POP3）　（POP before SMTP認証の場合）

   （凡例）

   →　：コネクション確立時の接続方向を示す

   注※1　マネージャーのJP1/Baseが対象です。

   注※2　servicesファイルには登録しません。

   注※3　物理ホストのIMデータベースのセットアップ時にセットアップ情報ファイルで設定したIMデータベース（物理ホスト）のポート番号です。

   注※4　論理ホストのIMデータベースのセットアップ時にクラスタセットアップ情報ファイルで設定したIMデータベース（論理ホスト）のポート番号です。

   注※5　接続先ポート番号は，接続先サーバの使用するポートによって変わる場合があります。

   注※6　HTTPサーバの設定によっては異なる場合があります。

   この表は，次のような通信の方法を意味しています。

   • サービス名とポート番号の欄

     JP1が通信で使用するサービス名とポート番号です。JP1/IM - ViewとJP1/IM - Managerの通信は，ポート番号20115（サービス名jp1imevtcon），ポート番号20238（サービス名jp1imcmda），およびポート番号20305（サービス名jp1imcss）を使い，通信のプロトコルはTCPであることがわかります。

   • ファイアウォールの通過方向の欄

     この欄は，接続開始時（コネクション確立時）の通信方向を意味しており，表中の矢印に接続します。接続開始時の方向は，ファイアウォール通過を許可する方向を制限したいときに必要な情報です。例えば，この表の項番1からは，JP1/IM - ViewからJP1/IM - Manager（セントラルコンソール）への方向で接続することがわかります。

   • その他

     表には直接書かれていませんが，表の情報とTCPの通信の仕様から考えると次のことがわかります。

     TCPは双方向の通信であるため，行き（JP1/IM - View→JP1/IM - Manager）と帰り（JP1/IM - View←JP1/IM - Manager）の通信があります。通信での行きと帰りのパケットでは，送信元IPアドレス（Source IPアドレス）と送信先IPアドレス（Destination IPアドレス）が入れ替わります。

2. パケット・フィルタリングを設定する。

   確認したJP1/IM - ViewとJP1/IM - Managerの通信の方法を基に，この通信だけがファイアウォールを通過できるように設定します。

   パケット・フィルタリングの通過条件は次のようになります。

   （例）フィルタリング条件：JP1/IM - ViewとJP1/IM - Managerの場合

   表9‒10　パケット・フィルタリングの通過条件

   項番	送信元IPアドレス	送信先IPアドレス	プロトコル	送信元ポート	送信先ポート	制御
   1	192.168.19.37	172.16.100.24	TCP	(ANY)	20115	accept
   2	192.168.19.37	172.16.100.24	TCP	(ANY)	20238	accept
   3	192.168.19.37	172.16.100.24	TCP	(ANY)	20305	accept
   4	172.16.100.24	192.168.19.37	TCP	20115	(ANY)	accept
   5	172.16.100.24	192.168.19.37	TCP	20238	(ANY)	accept
   6	172.16.100.24	192.168.19.37	TCP	20305	(ANY)	accept
   7	(ANY)	(ANY)	(ANY)	(ANY)	(ANY)	reject

   この表は，パケットを確認する条件と条件に一致した場合の制御を示しています。

   制御の列は，ファイアウォールがパケットの通過を許可（accept）するか，拒否（reject）するかの指定です。（ANY）は，OSによって割り当てられる任意の空きポート番号を使用するという意味です。

   この表のフィルタリング条件に合わせて，ファイアウォールのパケット・フィルタリングを設定します。

   なお，具体的な設定方法はファイアウォールによって異なります。ご使用のファイアウォールのマニュアルを参照してください。

(a)　NATを設定するには

NATを設定するには，次の作業が必要です。

1. 使用するIPアドレスを確認する。

   まず，アプリケーションが使用するIPアドレスを確認します。IPアドレスを一つしか使っていないマシンの場合は単純ですが，複数のネットワークアダプターがある（つまり複数のIPアドレスがある）場合や，クラスタシステムで論理IPアドレスを使う場合などは，アプリケーションによってどのIPアドレスを使用するかが異なります。

   JP1/IMの場合，JP1/Baseで通信の設定をしている場合や，クラスタ運用で論理IPアドレスを使用する場合など，設定によって使用するIPアドレスが異なります。

2. アドレスの変換ルールを検討し設定する。

   アプリケーションが使用するIPアドレスが確認できたら，変換後のIPアドレスを決めます。

   アドレスの変更ルールが決まったら，NATに設定します。

(b)　JP1/IMの場合の設定例

ここでは，JP1/IM - ViewとJP1/IM - Managerの間にファイアウォールがある環境を例に，NATの設定について説明します。

例：JP1/IM - Viewからアドレス変換したJP1/IM - Managerに接続します。

• JP1/IM - ViewのマシンのIPアドレスは 192.168.19.37とする。

• JP1/IM - ManagerのマシンのIPアドレスは 172.16.100.24とする。

  このJP1/IM - ManagerのIPアドレスを，JP1/IM - Manager’のIPアドレス 192.168.100.24に変換する。

  JP1/IM - Viewからは変換後の192.168.100.24に接続する。

  図9‒6　NATの設定例

注意：これはNATでのアドレス変換の例であり，ほかの変換方法の場合もあります。

1. 使用するIPアドレスを確認する。

   まず，NATの設定に必要な情報である，JP1が使用するIPアドレスを調べます。

   今回の例では，ホスト名（hostnameコマンドを実行したときに表示されるホスト名）に対応するIPアドレスを使って通信します。

2. アドレス変換ルールを検討し設定する。

   JP1/IM - ManagerのマシンのIPアドレスをNATによって172.16.100.24から192.168.100.24へアドレス変換するよう変換ルールを決めます。

   （例）アドレス変換ルール：172.16.100.24を192.168.100.24に変換

   表9‒11　アドレス変換ルール

   項番	送信元IPアドレス	送信先IPアドレス	送信元IPアドレス（アドレス変換後）	送信先IPアドレス（アドレス変換後）
   1	(ANY)	192.168.100.24	(ANY)	172.16.100.24
   2	172.16.100.24	(ANY)	192.168.100.24	(ANY)

   この表は，元のパケットと，アドレス変換したパケット（アドレス変換後）との対応を示しています。

   このアドレス変換ルールをファイアウォールのNAT設定に定義します。

   なお，具体的な設定方法はファイアウォールやルーターによって異なりますので，ご使用の製品のマニュアルを参照してください。

JP1/IM - Viewがアクセスするのは，実際のJP1/IM - Managerのマシンのアドレス（172.16.100.24）ではなく，アドレス変換したあとのアドレス（192.168.100.24）となります。

このため，JP1/IM - Viewからは，あたかもアドレス（192.168.100.24）のホストJP1/IM - Manager’にアクセスしているように見えます。