サービスご利用中のお客さま

VPSならラピッドサイト。VPS(仮想専用サーバー)販売15年の実績!

01) set_fwlevel レベル設定

set_fwlevel概要

VPSシリーズはiptablesに対応していますので、ポート番号やIPアドレスを指定したアクセス制御が可能なソフトウェアファイヤーフォールがご利用いただけます。

set_fwlevelコマンドはVPSシリーズ独自のファイヤーフォール設定コマンドです。

セキュリティレベルが予め3段階(高・中・低)セットされていますので、本来ファイヤーフォールを利用するために必要なiptablesコマンドの高度な知識がなくても適切なファイヤーフォールの設定が可能です。
VPSシリーズでは、プランによって、利用できるset_fwlevelレベルが異なります。

VPS-S、VPS-M、VPS-サンノゼS、VPS-サンノゼM : 「低」のみ
VPS-L、VPS-XL、VPS-サンノゼL、VPS-サンノゼXL、VPS-サンノゼXXL : 「低」「中」「高」

ご利用のプランをご確認の上、ご活用下さい。

制御対象のサービス

DNS
HTTP
IMAP
POP3
SSH
FTP
SMTP
HTTP-S
IMAP-S
POP3-S

制御対象外のポート
以下のサービスポートにつきましては、ソフトウェア ファイアーウォールの設定に制御される事はなく、 開放されている状態となっております。
Services Ports Protocols
Urchin5 9878 TCP
MySQL 3306 TCP
DNS client 53 TCP,UDP
NTP client 123 UDP
AOL 5190 TCP

設定状態確認

set_fwlevelは、コントロールパネルで、「ソフトウェア ファイアーウォール」を有効にして、初めて起動されます。
コントロールパネルで、「ソフトウェア ファイアーウォール」を有効にした後で、set_fwlevelの設定は『/etc/sysconfig/iptables』が生成されて保存されます。
そのiptablesファイル最上部に設定状態が確認できる記載があります。

下記は、セキュリティレベル中(2)の設定をしている場合の記述です。
# Generated by set_fwlevel
# Do not remove the following 2 lines
# securityLevel=2
# serverCode=
# Rule set for a web server

セキュリティレベルの設定

set_fwlevelを設定は、rootユーザー権限で、以下のコマンドを実行する事で可能となります。
# set_fwlevel *
*」の部分には、0から3までの数字を指定します。
0から3までの数字はセキュリティレベルとなっています。

レベル0設定
レベル0では、全ての設定されているファイヤーフォールのルールは解除されます。
これはファイヤーフォールの設定を無効として、全てのポートとサービスへのアクセスを許可します。
以下のコマンドでレベル0の設定が可能です。
# set_fwlevel 0

レベル1(低)設定
レベル1では、ファイヤーフォールレベル1を設定するとポートスキャンとサービスへのアタックを制限します。
レベル1では特定のICMPパケットのみが制御対象となりますので、サービスへの影響はほぼありません。
以下のコマンドでレベル1の設定が可能です。
# set_fwlevel 1
ポートスキャン

インターネット上から、そのサーバーの何番のポート(アプリケーションが通信を行うための出入口)が開き、何番のポートが閉じているかを一つ一つスキャンして調査します。

スキャンの結果、空いているポートが発見されるとそのポートから不正な攻撃の対象となります。

レベル2(中)設定
レベル2を設定した時点で、通常のFTP接続が制限されます。
サーバーへのファイル転送にはSFTP接続またはSCP接続で行って下さい。

また、587ポートも制限されます。
ご利用プロバイダの「Outbound Port 25 Blocking」設定により、メール送信のポートとして587ポートを利用していた場合は、587ポートからのメール送信は利用できなくなりますので、ご注意下さい。
ファイヤーフォールレベル2を設定すると、レベル1に加えて下記のサービスとポートへのアクセスのみを許可します。
その他のサービスへは外部からはアクセスできなくなります。
Services Ports Protocols
SSH 22 TCP
SMTP 25 TCP
HTTP 80 TCP
HTTP-S 443 TCP
POP3 110 TCP
POP3-S 995 TCP
IMAP 143 TCP
IMAP-S 993 TCP

以下のコマンドでレベル2の設定が可能です。
# set_fwlevel 2

レベル3(高)設定
レベル3を設定すると、通常のFTP接続は行えなくなります。
サーバーへのファイル転送にはSFTP接続またはSCP接続で行って下さい。
メール受信においても通常使用する110番ポートは閉じます。メール受信はPOP over SSLを利用して下さい。

また、587ポートも制限されます。
ご利用プロバイダの「Outbound Port 25 Blocking」設定により、メール送信のポートとして587ポートを利用していた場合は、587ポートからのメール送信は利用できなくなりますので、ご注意下さい。
ファイヤーフォールレベル3を設定すると、レベル1に加えて下記のサービスとポートへのアクセスのみを許可します。
その他のサービスへは外部からはアクセスできなくなります。
Services Ports Protocols
SSH 22 TCP
SMTP 25 TCP
HTTP 80 TCP
HTTP-S 443 TCP
POP3-S 995 TCP
IMAP-S 993 TCP

以下コマンドでレベル3の設定が可能です。
# set_fwlevel 3

ページの先頭へ戻る