Tech-Blog

Linuxにて特定のアウトバウンド通信を許可するための設定例

この記事は投稿日から1年以上経過しています。

当記事では、Linuxにて特定のアウトバウンド通信を許可するための設定例について記載します。

前提条件

  • 当記事ではhttpサービスのポートをTCP/80の前提で記載しています。
  • 当記事の手順はすべて管理者権限にて実施しています。
  • 当記事の記載内容は下記環境にて実施したものです。
  • 当記事内のアウトバウンド通信制御設定はあくまで一例です。
OS CentOS7.8
firewalld 0.6.3

事前設定

  • 事前に下記のコマンドにてアウトバウンド通信制御を実施します。
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p icmp --icmp-type 0 -j ACCEPT
success
# cat /proc/sys/net/ipv4/ip_local_port_range
32768   60999
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -p tcp --dport 32768:60999 -j ACCEPT
success
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 65000 -p tcp -j REJECT
success
# firewall-cmd --reload
success
# iptables -nvL --line-numbers
~省略~
Chain OUTPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
2     2997 8558K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:32768:60999
3       84  5040 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

外部のhttpサービスにアクセスする場合

  • ダイレクトルールにて設定します。Chain OUTPUT_directに下記コマンドで宛先TCP/80番宛通信の許可設定を投入します。
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 3 -p tcp --dport 80 -j ACCEPT
success
# firewall-cmd --reload 
success
# iptables -nvL --line-numbers
~省略~
Chain OUTPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
2     1156  145K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:32768:60999
3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
4    38026 2281K REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
  • 追加したルールの削除方法は下記コマンドにて実施します。
# firewall-cmd --permanent --direct --remove-rule ipv4 filter OUTPUT 3 -p tcp --dport 80 -j ACCEPT
success
# iptables -nvL --line-numbers
~省略~
Chain OUTPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
2     2997 8558K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:32768:60999
3       84  5040 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

以上でLinuxにて特定のアウトバウンド通信を許可するための設定例についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Windowsファイアーウォールの設定方法|アウトバウンドを設定する前のページ

LSCのアウトバウンド通信にて利用するプロトコルについて次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. Zabbixヒストリデータのレポート生成について
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. Windows/Linux

    Windowsファイアーウォールの設定方法|アウトバウンドを設定する

    Windowsファイアーウォールは、外部ネットワークからの通信を監視し…

  2. NW機器

    FortiGate にSNMP (v1, v2c) / Syslog 設定を追加する

    当記事では、FortiGate からSNMP 並びにSyslog を取…

  3. NW機器

    Nutanixを監視したいときのメトリクス監視項目例(API v2)

    当記事ではLogStare Collector(以下、LSC)でのNu…

  4. NW機器

    Cisco 製品にSNMP (v1, v2c) / Syslog の設定を追加する (Cisco C…

    当記事では、Cisco 製品からSNMP 並びにSyslog を取得す…

  5. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す

    当記事では、AWSマーケットプレイス上に無償版として出品されているLo…

  6. AWS/Azure

    自社製品をAMIにしてAWSマーケットプレイスへ出品

    はじめにかねてより弊社製品のAWSマーケットプレイス出品を目論んで…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  3. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  4. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP