さくらのVPSでHinemosをセットアップしてみた(2)
前回、Hinemosのマネージャサーバとクライアントのインストールをしました。
マネージャサーバへ接続するためにポート開放をする必要がありました(´>ω<`)
SSH TCP 22 HTTP TCP 80 Hinemosクライアント TCP 1098,1099,4444,4445,4446 Hinemosジョブエージェント TCP 4457 Hinemosログ転送エージェント TCP 24457
[参考:install.pdf 3.5.2 マネジャサーバへの接続]
iptablesは、パケットフィルタリング機能を提供するプログラムで、ファイアーウォールの構築などに利用されます。未設定の状態からSSH、HTTP、Hinemosの利用に必要なポート解放し、後は利用しないようにします。とりあえず必要最小限の設定を行なってみます。
現在のiptablesの設定を確認してみます。
$ sudo iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
何にも設定されていません・・・、全裸待機でした(´・ω・`)ショボーン
ポート開放の設定をしてる内にデータが消えてたみたいです。ということで・・・気を取り直してiptablesを設定します。
最初に、さくらVPSにiptablesがインストールされていることを確認します。
$ yum list installed | grep iptables iptables.x86_64 1.3.5-5.3.el5_4.1 installed iptables-ipv6.x86_64 1.3.5-5.3.el5_4.1 installed
iptablesの設定は /etc/sysconfig/iptables に記述します。初期状態ではこのファイルが存在しないので新規作成します。root権限の必要な場所に保存するので sudo vi で作成します。
$ sudo vi /etc/sysconfig/iptables
以下の様に記述します。
※サーバの環境に応じて必要なポートを開放します。SSHでの接続は公開鍵認証のみにする。
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #SSH,HTTP -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT #Hinemos -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1098 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1099 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4444 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4445 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4446 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4457 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 24457 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
※iptablesの設定については、http://www.nina.jp/server/redhat/iptables/iptables.html
設定ファイルが作成されたのでiptablesを再起動します。
$ sudo /etc/rc.d/init.d/iptables restart Flushing firewall rules: [ OK ] Setting chains to policy ACCEPT: filter [ OK ] Unloading iptables modules: [ OK ] Applying iptables firewall rules: [ OK ]
最後に設定を確認します。
$ sudo iptables -L
これでクライアントからマネージャサーバへ接続することが可能になりました(´・ω・`)