2013/01/17 on Yano's digital garage https://www.bravotouring.com/~yano/archives/2013/01/17/ Recent content in 2013/01/17 on Yano's digital garage Hugo en-us Thu, 17 Jan 2013 13:05:52 +0900 UFW(Uncomplicated Firewall) https://www.bravotouring.com/~yano/diary/it/20130117ufw.htm Thu, 17 Jan 2013 13:05:52 +0900 https://www.bravotouring.com/~yano/diary/it/20130117ufw.htm <p><span class="Host">GT110b</span>でもファイアーウォールは<span class="Host">nx9030</span>からの<span class="Note">(つまりCentOSの)</span><span class="Path">/etc/iptables.rules</span>な設定を引きずってきたが、ようやく<span class="Software">ubuntu</span>の流儀に従って<span class="Software">UFW(Uncomplicated Firewall)</span>ベースの設定で整理した。</p> <p>基本的には入側DENY/出側ALLOWにdefault設定し、入側の許可ルールを「sudo ufw allow ~」で追加していくだけで、<span class="Strong">ssh</span>や<span class="Strong">domain</span>など<span class="Path">/etc/services</span>に定義済みのポートについてはその定義名を、その他のサービスやアプリケーション毎の設定については<span class="Path">/etc/ufw/applications.d/</span>配下に定義して「sudo ufw app list」で表示される識別子を指定すれば良い。</p> <p><a href="https://www.bravotouring.com/~yano/diary/it/20120508vps.htm">さくらのVPS</a>で解放する必要があるのはDNSとWebとsshとメールだけ。 まずは<span class="Path">/etc/ufw/applications.d/postfix</span>にsmtpsの定義を追加し、 <blockquote class="Log"> [Postfix]<br/> title=Mail server (SMTP)<br/> description=Postfix is a high-performance mail transport agent<br/> ports=25/tcp<br/> <br/> [Postfix Submission]<br/> title=Mail server (Submission)<br/> description=Postfix is a high-performance mail transport agent<br/> ports=587/tcp<br/> <br/> [Postfix Secure]<br/> title=Mail server (SSL)<br/> description=Postfix is a high-performance mail transport agent<br/> ports=465/tcp </blockquote> あとは、以下の様な感じで。 <blockquote class="Log"> yano@sakura_vps:~$ sudo ufw status<br/> 状態: 非アクティブ<br/> yano@sakura_vps:~$ sudo ufw default DENY incoming<br/> Default incoming policy changed to 'deny'<br/> (適用したい内容に基づいて必ずルールを更新してください)<br/> yano@sakura_vps:~$ sudo ufw default ALLOW outgoing<br/> Default outgoing policy changed to 'allow'<br/> (適用したい内容に基づいて必ずルールを更新してください)<br/> yano@sakura_vps:~$ sudo ufw app list<br/> 存在するアプリケーション:<br/> Apache<br/> Apache Full<br/> Apache Secure<br/> Dovecot IMAP<br/> Dovecot POP3<br/> Dovecot Secure IMAP<br/> Dovecot Secure POP3<br/> OpenSSH<br/> Postfix<br/> Postfix Submission<br/> Postfix Secure<br/> yano@sakura_vps:~$ sudo ufw allow ssh<br/> ルールをアップデートしました<br/> yano@sakura_vps:~$ sudo ufw allow domain<br/> ルールをアップデートしました<br/> yano@sakura_vps:~$ sudo ufw allow "Postfix"<br/> ルールをアップデートしました<br/> yano@sakura_vps:~$ sudo ufw allow "Postfix Submission"<br/> ルールをアップデートしました<br/> yano@sakura_vps:~$ sudo ufw allow "Postfix Secure"<br/> ルールをアップデートしました<br/> yano@sakura_vps:~$ sudo ufw allow "Dovecot POP3"<br/> ルールをアップデートしました<br/> yano@sakura_vps:~$ sudo ufw allow "Dovecot Secure POP3"<br/> ルールをアップデートしました<br/> yano@sakura_vps:~$ sudo ufw allow "Apache Full"<br/> ルールをアップデートしました<br/> yano@sakura_vps:~$ sudo ufw enable<br/> Command may disrupt existing ssh connections. Proceed with operation (y|n)? y<br/> ファイアウォールはアクティブかつシステムの起動時に有効化されます。<br/> yano@sakura_vps:~$ sudo ufw status<br/> 状態: アクティブ<br/> <br/> To Action From<br/> -- ------ ----<br/> 22 ALLOW Anywhere<br/> 53 ALLOW Anywhere<br/> Postfix ALLOW Anywhere<br/> Postfix Submission ALLOW Anywhere<br/> Postfix Secure ALLOW Anywhere<br/> Dovecot POP3 ALLOW Anywhere<br/> Dovecot Secure POP3 ALLOW Anywhere<br/> Apache Full ALLOW Anywhere<br/> <br/> yano@sakura_vps:~$ </blockquote> </p>