Product SiteDocumentation Site

14.2. ファイアウォールとパケットフィルタリング

BACK TO BASICS ファイアウォール

ファイアウォール はハードウェアかソフトウェアの形で提供されるコンピュータ部品の一種で、受信および送信する (ローカルネットワークに到着したり、ローカルネットワークから送信される) ネットワークパケットを仕分けて事前に定義された条件に一致するパケットだけを通過させるものです。
ファイアウォールはネットワークゲートウェイをフィルタするもので、ゲートウェイを通過しなければいけないパケットだけに有効です。それ故、ファイアウォールはパケットにとってファイアウォールが唯一の経路である場合だけに有効です。
標準的な設定が存在しないということは (そして「過程であって、成果ではない」モットーに従うということは) ややこしい初期設定の不要な解決策が存在しないということを意味します。しかしながら、netfilter ファイアウォールの設定を簡単に行うためのツールが存在し、ツールはフィルタリングルールをグラフィカルに表現する機能を備えています。fwbuilder がこの種のツールの中で最良のツールであることは疑いありません。

SPECIFIC CASE ローカルファイアウォール

ファイアウォールを使って (完全なネットワークとは対照的に) 特定のマシンを制限することも可能です。この場合のファイアウォールの役割は、一部のサービスへのアクセスをフィルタしたり制限すること、好むと好まざるとに関わらずユーザがインストールできる不正ソフトウェアによる外部への接続を防ぐこと、です。
Linux カーネルには netfilter ファイアウォールが組み込まれています。iptablesip6tables コマンドを使うことで、netfilter ファイアウォールをユーザ空間から制御することが可能です。iptablesip6tables コマンドの違いは、iptables が IPv4 ネットワークを取り扱うのに対し、ip6tables は IPv6 ネットワークを取り扱うという点です。おそらく IPv4 と IPv6 のネットワークプロトコルスタックは長きにわたり共存するでしょうから、両方のツールを並行して実行する必要があります。

14.2.1. netfilter の挙動

netfilter は 4 種類の異なるテーブルを使います。テーブルには、パケットに対する 3 種類の操作を規制するためのルールを保存します。
  • filter はフィルタリングルール (パケットを受け入れる、拒否する、無視するなど) に関係します。
  • nat はパケットの送信元や宛先アドレスおよびポート番号の変換に関係します。
  • mangle は IP パケットに対するその他の変換に関係します (ToS — Type of Service — フィールドやオプションが含まれます)。
  • raw を使うことで、パケットが接続追跡システムに到達する前にパケットを手作業で別の変更を加えることが可能です。
それぞれのテーブルには、チェインと呼ばれるルールのリストが含まれます。ファイアウォールは事前に定義された状況に基づいてパケットを取り扱うために標準的なチェインを使います。管理者は他のチェインを作成することが可能です。このチェインを使うには、標準的なチェインの 1 つから (直接的か間接的かのいずれか一方の方法で) このチェインを参照します。
filter テーブルは 3 種類の標準的なチェインを備えています。
  • INPUT。このチェインは宛先がファイアウォール自身のパケットに関係します。
  • OUTPUT。このチェインはファイアウォールから送信されたパケットに関係します。
  • FORWARD。このチェインはファイアウォールを通過するパケットに関係します (ファイアウォールはパケットの送信元でも宛先でもありません)。
nat テーブルも 3 種類の標準的なチェインを備えています。
  • PREROUTING。このチェインはパケットの到着直後にパケットを修正します。
  • POSTROUTING。このチェインはパケットを宛先に送信する準備が完了した時にパケットを修正します。
  • OUTPUT。このチェインはファイアウォールそれ自身によって生成されたパケットを修正します。
netfilter チェインの呼び出される方法

図 14.1 netfilter チェインの呼び出される方法

各チェインはルールのリストです。そして各ルールは一連の条件とその条件に一致する場合に実行される動作です。パケットを処理する場合、ファイアウォールは適切なチェインを 1 つずつ検査します。そしてあるルールの条件に一致したら、処理を続けるために特定の動作に「ジャンプ」します (このためコマンドには -j オプションが存在します)。最も一般的な挙動は標準化されており、それぞれの挙動に対する専用の動作が存在します。標準的な動作が選択されると、チェインの処理は中止されます。なぜなら、パケットの運命は既に決まっているからです (以下で言及されている除外に一致する場合を除きます)。

BACK TO BASICS ICMP

ICMP (Internet Control Message Protocol) は通信に関する補足情報を送信するために使われるプロトコルです。ping コマンドは ICMP を使ってネットワークの接続性を検査します (ping コマンドは ICMP echo request メッセージを送信します。これに対して受信者は ICMP echo reply メッセージで応答することになっています)。ICMP を使えば、パケットがファイアウォールによって拒否されたことを通知したり、受信バッファが満杯になっていることを通知したり、次回パケット以降に使えるより良い経路を提案することが可能です。このプロトコルはいくつかの RFC 文書で定義されています。しかし、最初の RFC777 と RFC792 はすぐに完成し、拡張されました。
→ http://www.faqs.org/rfcs/rfc777.html
→ http://www.faqs.org/rfcs/rfc792.html
参考までに、受信バッファとは、データがネットワークから到着してカーネルがデータを処理するまでの間、そのデータを保存する小容量のメモリ区画です。このメモリ区画が満杯になると、新しいデータを受け取ることができなくなり、ICMP がこの問題を通知します。そうすれば送信側はデータの転送速度を遅くすることが可能です (理想的に言えば、しばらくの後に転送速度は平衡状態に達するべきです)。
IPv4 ネットワークは ICMP がなくても動作しますが、IPv6 ネットワークは ICMPv6 を必須条件としています。なぜなら、ICMPv6 は IPv4 世界では ICMPv4、IGMP (Internet Group Membership Protocol)、ARP (Address Resolution Protocol) のように分散していたさまざまな機能をまとめているからです。ICMPv6 は RFC4443 で定義されています。
→ http://www.faqs.org/rfcs/rfc4443.html
  • ACCEPT。これは対象のパケットの通過を許可します。
  • REJECT。これは対象のパケットを拒否して ICMP エラーを返答します (iptables--reject-with type オプションを使えば返答するエラーの種類を選ぶことが可能です)。
  • DROP。これは対象のパケットを削除 (無視) します。
  • LOG。これは対象のパケットと一緒にメッセージをログに記録 (syslogd を使って) します。ログ記録が選択された場合チェインの処理は中止されない点に注意してください。チェインの実行は次のルールに進みます。このため、拒否されたパケットをログに記録するには、LOG と REJECT/DROP ルールの両方が必要です。
  • ULOG。これは ulogd を介してメッセージをログに記録します。ulogd は大量のメッセージを処理する場合に syslogd よりも効率が良いです。LOG と同様、この場合も処理は呼び出されたチェインの次のルールに進む点に注意してください。
  • chain_name。これは指定したチェインに飛んで、チェインのルールを評価します。
  • RETURN。これは現在のチェインの処理を中止し、呼び出されたチェインに戻ります。現在のチェインが標準的なチェインの場合、呼び出されたチェインはありませんから、代わりにデフォルトの動作 (iptables-P オプションで定義された動作) が実行されます。
  • SNAT (nat テーブルの中だけでのみ使うことが可能です)。これは Source NAT を適用します (追加オプションを使って適用する正確な変更を設定します)。
  • DNAT (nat テーブルの中だけでのみ使うことが可能です)。これは Destination NAT を適用します (追加オプションを使って適用する正確な変更を設定します)。
  • MASQUERADE (nat テーブルの中だけでのみ使うことが可能です)。これはマスカレードを適用します (マスカレードSource NAT の特別な場合です)。
  • REDIRECT (nat テーブルの中だけでのみ使うことが可能です)。これはファイアウォールの指定したポートに対象のパケットを転送します。さらにこれを使って、クライアント側に特別な設定をせずとも動作する透過的なウェブプロキシをセットアップすることが可能です。なぜなら、クライアントは宛先に接続していると思っていても、実際の通信はプロキシを通過しているからです。
その他の動作、特に mangle テーブルに関する動作、は本書の範囲を超えています。iptables(8)ip6tables(8) には包括的なリストが含まれています。

14.2.2. iptablesip6tables の構文

iptablesip6tables コマンドを使って、テーブル、チェイン、ルールを操作することが可能です。-t table オプションで操作対象のテーブルを指定します (デフォルトの場合、filter テーブルを操作します)。

14.2.2.1. コマンド

-N chain オプションは新しいチェインを作成します。-X chain は空で使われていないチェインを削除します。-A chain rule はルールをチェインの最後に追加します。-I chain rule_num rule オプションは指定したルール番号 rule_num の前にルールを挿入します。-D chain rule_num (または -D chain rule) オプションはチェインからルールを削除します。そして初めの構文はルール番号を指定してルールを削除し、後の構文はルール内容を指定してルールを削除します。-F chain オプションはチェインをクリアします (チェインに含まれるすべてのルールを削除します)。一方、チェインを指定しなかった場合、テーブルに含まれるすべてのルールを削除します。-L chain オプションはチェインに含まれるルールを表示します。最後に、-P chain action オプションは指定したチェインのデフォルト動作、「ポリシー」、を定義します。しかし、ポリシーを設定できるのは標準的なチェインだけという点に注意してください。

14.2.2.2. ルール

それぞれのルールは conditions -j action action_options の形で指定します。複数の条件が同じルールとして表現された場合、複数の条件は結合 (論理 and) されます。つまり、各条件の結果をさらに限定することを意味します。
-p protocol 条件は IP パケットのプロトコルフィールドに一致します。最も普通の値は tcpudpicmpicmpv6 です。条件の前に感嘆符を付けることで、その条件を否定したことになります。つまり「指定したプロトコル以外のすべてのプロトコルを使ったパケット」に一致します。条件否定の方法は -p オプションに限らず、他のすべての条件に適用することが可能です。
-s address または -s network/mask 条件は対象のパケットの送信元アドレスに一致します。同様に、-d address または -d network/mask は宛先アドレスに一致します。
-i interface 条件は指定したネットワークインターフェースから受信したパケットを選択します。-o interface は指定したインターフェースから送信されるパケットを選択します。
上で説明した一般的な条件ごとに、条件の範囲を狭めるためのオプションが数多く存在します。たとえば、-p tcp 条件は TCP ポート番号を指定して条件範囲を狭めることが可能です。これを行うには、--source-port port--destination-port port を使います。
--state state 条件は接続中のパケットの状態を検査します (接続追跡を行うための ipt_conntrack カーネルモジュールが必要です)。NEW 状態は新しい接続の開始するパケットを意味します。そして ESTABLISHED は既に存在する接続に関連するパケットに一致します。RELATED は既存の接続に関連する新しい接続を開始するパケットに一致します (これは FTP プロトコルの「アクティブ」モードを使った ftp-data 接続の際に有益です)。
前の節で利用できる動作を説明しましたが、その動作に対するオプションを説明していませんでした。たとえば、LOG 動作は以下のオプションを持ちます。
  • --log-level は記録する syslog メッセージの重要度を指定します。デフォルトの場合 warning 以上の重要度を持つメッセージが記録されます。
  • --log-prefix はログに記録するメッセージを特徴づけるために行の先頭に付けるテキストを指定します。
  • --log-tcp-sequence--log-tcp-options--log-ip-options はログメッセージに含める追加的なデータを指定します。具体的に言えば、それぞれ TCP シーケンス番号、TCP オプション、IP オプションをログメッセージに含めます。
DNAT 動作には --to-destination address:port オプションを指定することが可能です。これは新しい宛先 IP アドレスおよびポート番号を指定するオプションです。同様に、SNAT には --to-source address:port を指定することが可能です。これは新しい送信元 IP アドレスおよびポート番号を指定するオプションです。
REDIRECT 動作には --to-ports port(s) オプションを指定することが可能です。これはパケットの転送先ポート番号またはポート番号範囲を指定します (REDIRECT 動作は NAT を有効化している場合にのみ使うことが可能です)。

14.2.3. ルールの作成

1 つのルールを作成するには、iptables/ip6tables を 1 回実行する必要があります。これらのコマンドを手作業で実行することは退屈なので、通常スクリプトの形で保存しておきます。こうすることで、マシンの起動時に同じ設定を自動的に適用することが可能です。このスクリプトは手作業で書かなければいけませんが、fwbuilder などの高レベルツールを使ってスクリプトを準備することも興味深いでしょう。 
# apt install fwbuilder
原理は簡単です。最初に、実際のルールに適用するすべての要素を宣言する必要があります。
  • ネットワークインターフェースとそれを使うファイアウォール自身。
  • 対応する IP アドレス範囲とそれを使うネットワーク。
  • サーバ。
  • サーバでホストされているサービスに対応するポート番号。
オブジェクトに対する単純なドラッグアンドドロップ動作を使ってルールを作成します。一部のコンテキストメニューを使ってルールの条件を変更する (たとえば条件を否定する) ことが可能です。そして、動作を選んで設定する必要があります。
IPv6 に関心があるなら、IPv4 と IPv6 で別々のルールセットを作成するか、片方だけを作成してオブジェクトに割り当てられたアドレスに応じて fwbuilder にそのルールを変換してもらうか、のどちらか一方を行うことが可能です。
fwbuilder のメインウィンドウ

図 14.2 fwbuilder のメインウィンドウ

fwbuilder は定義されたルールに従ってファイアウォールを設定するためのスクリプトを生成することが可能です。モジュール式のアーキテクチャのおかげで、fwbuilder はさまざまなファイアウォールシステム (Linux の iptables、FreeBSD の ipf、OpenBSD の pf) を設定するためのスクリプトを生成することが可能です。

14.2.4. 起動時にルールを適用する

別のやり方として、設定スクリプトを /etc/network/interfaces ファイルの up 指示文に登録する方法も推奨されます。以下の例では、設定スクリプトは /usr/local/etc/arrakis.fw に保存されています。

例 14.1 ファイアウォールスクリプトを呼び出す interfaces ファイル

auto eth0
iface eth0 inet static
    address 192.168.0.1
    network 192.168.0.0
    netmask 255.255.255.0
    broadcast 192.168.0.255
    up /usr/local/etc/arrakis.fw
見ての通りこの例ではネットワークインターフェースを設定するために ifupdown を使っています。他の方法 (たとえば NetworkManagersystemd-networkd など) を使ってネットワークインターフェースを設定している場合、それぞれの文書を参照して、インターフェースを起動した後にスクリプトを実行する方法を見つけてください。