さくらのVPSでHinemosをセットアップしてみた(2)

Hinemos VPS

前回、Hinemosのマネージャサーバとクライアントのインストールをしました。
マネージャサーバへ接続するためにポート開放をする必要がありました(´>ω<`)

SSH                         TCP 22
HTTP                        TCP 80
Hinemosクライアント     TCP 1098,1099,4444,4445,4446
Hinemosジョブエージェント  TCP 4457
Hinemosログ転送エージェント TCP 24457

[参考:install.pdf 3.5.2 マネジャサーバへの接続]

iptablesは、パケットフィルタリング機能を提供するプログラムで、ファイアーウォールの構築などに利用されます。未設定の状態からSSH、HTTP、Hinemosの利用に必要なポート解放し、後は利用しないようにします。とりあえず必要最小限の設定を行なってみます。

現在のiptablesの設定を確認してみます。

$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

何にも設定されていません・・・、全裸待機でした(´・ω・`)ショボーン
ポート開放の設定をしてる内にデータが消えてたみたいです。ということで・・・気を取り直してiptablesを設定します。

最初に、さくらVPSiptablesがインストールされていることを確認します。

$ yum list installed | grep iptables
iptables.x86_64                           1.3.5-5.3.el5_4.1            installed
iptables-ipv6.x86_64                      1.3.5-5.3.el5_4.1            installed

iptablesの設定は /etc/sysconfig/iptables に記述します。初期状態ではこのファイルが存在しないので新規作成します。root権限の必要な場所に保存するので sudo vi で作成します。

$ sudo vi /etc/sysconfig/iptables

以下の様に記述します。

※サーバの環境に応じて必要なポートを開放します。SSHでの接続は公開鍵認証のみにする。

*filter
:INPUT	ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#SSH,HTTP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80   -j ACCEPT

#Hinemos
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1098 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1099 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4444 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4445 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4446 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4457 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 24457 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

iptablesの設定については、http://www.nina.jp/server/redhat/iptables/iptables.html
設定ファイルが作成されたのでiptablesを再起動します。

$ sudo /etc/rc.d/init.d/iptables restart
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]

最後に設定を確認します。

$ sudo iptables -L

これでクライアントからマネージャサーバへ接続することが可能になりました(´・ω・`)