付録C.2 ファイアウォールの通過方向
- 〈この項の構成〉
(1) ファイアウォールの通過方向(JP1/IM - ManagerおよびJP1/IM - View)
JP1/IM - ManagerおよびJP1/IM - Viewのファイアウォールの通過方向を次の表に示します。なお,JP1/IMは,パケットフィルタリング型,NAT(スタティックモード)型のファイアウォールに対応しています。
サービス名 |
ポート番号 |
ファイアウォールの通過方向 |
---|---|---|
jp1imevtcon |
20115/tcp |
JP1/IM - View → JP1/IM - Manager(セントラルコンソール) |
jp1imcmda |
20238/tcp |
JP1/IM - View → JP1/Base※1 JP1/IM - Manager(セントラルコンソール) → JP1/Base※1 |
jp1imcss |
20305/tcp |
JP1/IM - View → JP1/IM - Manager(セントラルスコープ) |
jp1imegs |
20383/tcp |
JP1/IM - Managerがインストールされたマシン内だけの通信となるため,ファイアウォールの設定は不要 |
jddmain |
20703/tcp |
WWWブラウザー→ JP1/IM - Manager(インテリジェント統合管理基盤) |
なし※2 |
IMデータベースのポート番号※3 |
JP1/IM - Manager(物理ホスト) → JP1/IM - Manager(IMデータベース(物理ホスト)) |
IMデータベースのポート*番号※4 |
JP1/IM - Manager(論理ホスト) → JP1/IM - Manager(IMデータベース(論理ホスト)) |
|
jp1imcf |
20702/tcp |
JP1/IM - View → JP1/IM - Manager(IM構成管理) |
jp1imfcs |
20701/tcp |
JP1/IM - Managerがインストールされたマシン内だけの通信となるため,ファイアウォールの設定は不要 |
jimmail |
25/tcp※2 |
JP1/IM - Manager → メールサーバ(SMTP) (認証なしの場合) |
587/tcp※2 |
JP1/IM - Manager → メールサーバ(SMTP) (SMTP-AUTH認証の場合) |
|
110/tcp※2 |
JP1/IM - Manager → メールサーバ(POP3) (POP before SMTP認証の場合) |
|
なし |
20705/tcp |
JP1/IM - Managerがインストールされたマシン内だけの通信となるため,ファイアウォールの設定は不要 |
なし |
20706/tcp |
JP1/IM - Managerがインストールされたマシン内だけの通信となるため,ファイアウォールの設定は不要 |
コネクション確立時は,表中のポート番号を,接続を受ける側(矢印が向いている側)が使用します。接続する側は,OSによって割り当てられる空きポート番号を使用します。この場合に使用するポート番号の範囲は,OSによって異なります。
なお,ファイアウォールサーバマシン上にJP1/IMをインストールする場合は,同一マシン内での通信もファイアウォールによる通信制限の対象となる場合がありますので,この場合,同一マシン内でも表中のポート番号で通信できるように設定してください。
ファイアウォール環境での運用については,マニュアル「JP1/Integrated Management 3 - Manager 構築ガイド」の「9.3 ファイアウォール環境での運用」を参照してください。
(2) ファイアウォールの通過方向の設定(リモートの監視対象ホストの情報を収集する場合)
JP1/IM - Managerで監視対象ホストの情報を収集するには,次の接続方法を利用します。
- Windowsの場合
-
SSH,NetBIOS(NetBIOS over TCP/IP),WMI
- UNIXの場合
-
SSH
そのため,ファイアウォール経由でJP1/IM - Managerと監視対象ホストを配置する場合は,次のようにファイアウォールを通過させる必要があります。
JP1/IM - Manager(jcfmainおよびjcfallogtrap)→監視対象ホスト
(凡例)→ :コネクション確立時の接続方向を示す
- SSH接続の場合
-
JP1/IM - Managerのシステム共通設定のSSHの設定で指定したポート番号でファイアウォールを通過させるようにしてください。
- NetBIOS(NetBIOS over TCP/IP)接続の場合
-
NetBIOS(NetBIOS over TCP/IP)で使用するポートをファイアウォールで通過させる必要があります。設定方法については,ファイアウォール製品のマニュアルまたはファイアウォール製品の開発元に確認してください。
なお,ほかのNetBIOS(NetBIOS over TCP/IP)接続との分離はできません。
- WMI接続の場合
-
WMIは,DCOMを使用しています。DCOMは動的ポート割り当てを使用しているため,DCOMで使用するポートをファイアウォールで通過させる必要があります。設定方法については,ファイアウォール製品のマニュアルまたはファイアウォール製品の開発元に確認してください。
なお,ほかのWMIやDCOM要求との分離はできません。
(3) ファイアウォールの通過方向の設定(インテリジェント統合管理基盤で複数拠点を監視する場合)
通信経路にファイアウォールがある環境の場合,統合マネージャーのインテリジェント統合管理基盤の通信で,次の表に示すポートが通過できるように設定する必要があります。
ファイアウォールの通過方向を各表に示します。各表の凡例と注は次のとおりです。
-
統合マネージャーホストと拠点/中継マネージャーホスト間の通信の場合
統合マネージャーホスト
通信方向
拠点/中継マネージャーホスト
用途
Any
→
インテリジェント統合管理基盤のポート
jddcreatetreeコマンドの実行による拠点/中継マネージャー配下のJP1/IM - Agentに関する情報の取得
また,統合マネージャーに接続する統合オペレーション・ビューアーの通信で,次の表に示すポートを通過できるように設定する必要があります。
-
統合マネージャーに接続する統合オペレーション・ビューアーと拠点/中継マネージャーホスト間の通信の場合
統合マネージャーホスト
通信方向
拠点/中継マネージャーホスト
用途
Any
→
インテリジェント統合管理基盤のポート
拠点/中継マネージャーおよび配下の監視対象ホストに対する操作
(4) ファイアウォールの通過方向の設定(JP1/IM - Agent)
通信経路にファイアウォールがある環境の場合,統合エージェント管理基盤のimbaseおよびimbaseproxyのポートが通過できるように設定する必要があります。また,NAT型のファイアウォール環境を使用できます。
ファイアウォールの通過方向を各表に示します。各表の凡例と注は次のとおりです。
- (凡例)
-
→:コネクション確立時,左項から右項へ接続することを表します。
←:コネクション確立時,右項から左項へ接続することを表します。
- 注※
-
OSによって割り当てられる任意の空きポート番号を使用することを表します。
-
統合エージェントホストと統合マネージャーホスト間の通信の場合
統合エージェントホスト
通信方向
統合マネージャーホスト
用途
Any※
→
統合エージェント管理基盤のimbase,imbaseproxyのポート
-
リモートライト
-
アラート通知
-
ログ監視
-
imbaseからのリクエスト取得およびレスポンス送信
-
-
統合エージェントホストと監視対象のWebサーバ間の通信
統合エージェントホスト
通信方向
監視対象のWebサーバ
用途
Any※
→
監視対象のWebサーバのポート
Blackbox exporter(HTTP/HTTPS)による監視
-
統合エージェントホストと監視対象ホスト(ICMP監視)間の通信
統合エージェントホスト
通信方向
監視対象ホスト(ICMP監視)
用途
なし
→
ICMP Type 8(Echo Request)に応答するように設定
Blackbox exporter(ICMP)による監視
ICMP Type 0(Echo Reply)を受信できるように設定
←
なし
-
統合エージェントホストと監視対象のAWS CloudWatch間の通信
統合エージェントホスト
通信方向
監視対象のAWS CloudWatch
用途
Any※
→
監視対象のAWS CloudWatchのポート
Yet another cloudwatch exporterによる監視
-
統合エージェントホストとHTTPプロキシサーバ間の通信
統合エージェントホスト
通信方向
HTTPプロキシサーバ
用途
Any※
→
HTTPプロキシサーバのポート
-
マネージャーホストとの通信
-
Blackbox exporterなどのExporterによる監視対象サーバとの通信
- 重要
-
JP1/IM - Agentが使用するExporterのスクレイプ用のAPIでは,Exporterのポートを認証で保護していないため,ファイアウォールで保護してください。
詳細については,マニュアル「JP1/Integrated Management 3 - Manager構築ガイド」の「1.21.2(8) ファイアウォールの設定(Windowsの場合)(必須)」および「2.19.2(9) ファイアウォールの設定(Linuxの場合)(必須)」を参照してください。
-