PDF形式でダウンロードPDF形式でダウンロードX
この記事の共著者 : Luigi Oppido. ルイージ・オピドはカリフォルニア州サンタクルーズ市のパソコン修理専門店「Pleasure Point Computers」経営者です。25年以上にわたりパソコン修理全般、データ復元、ウイルス除去、アップグレードなどのサービスを請け負っています。また、カリフォルニア中部でKSCOにて放送中の番組、「Computer Man Show! 」の司会者も務めています。
この記事には7件の参照文献があり、文献一覧は記事の最後に表示されています。
この記事は5,885回アクセスされました。
Linuxシステムへの受信接続または送信接続を許可する必要があるのですか?iptables、Uncomplicated Firewall(UFW)、firewalldなどのファイアウォールソフトを使用している場合は、コマンドラインから簡単にポートを開くことができます。ConfigServer Firewall(CSF)やAdvanced Policy Firewall(ADP)などの製品では、ファイアウォールルールを追加してポートを開くのは、ファイアウォールの構成ファイルを編集するのと同じくらい簡単です。この記事では、Ubuntu、Debian、CentOS、Red Hat、FedoraなどのLinuxディストリビューションで最も一般的な5つのファイアウォールでポート開放状況を確認してポートを開け閉めする方法を順を追って説明します。
知っておくべきこと
- Linuxベースのファイアウォール製品であれば、TCPポートとUDPポートを簡単に開くことができます。
- iptablesはほとんどのLinuxディストリビューションにプリインストールされており、構成も非常に簡単です。
- firewalldを使用している場合、firewall-cmdコマンドに--permanentフラグを追加すれば、ファイアウォールを停止して再起動しても、変更が元に戻ることはありません。
ステップ
Linuxサーバーにログインし、ターミナルウィンドウを開く Ubuntu、Debian、CentOS、Fedora、Red Hatなど、ほとんどのLinuxディストリビューションには、すでにiptablesがインストールされています。iptablesのポートは、簡単なコマンドで開くことができます。
service iptables statusを実行してファイアウォールが起動していることを確認する ファイアウォールが起動していない場合は、 service iptables startを使用して起動しましょう。
sudo iptables -Lを使用して既存のファイアウォールルールを一覧表示する ルールはチェインに分かれています。- INPUTチェインは、ホストシステムへの受信接続に使用されます。
- FORWARDチェインは、ルーティングに使用されます。
- OUTPUTチェインは、ホストシステムから外部への送信データに使用されます。
- 各チェインには、パケットに対する処理を定義するポリシーが設定されています。ポートを開くときは、このチェインを指定する必要があります。例えば、SSH受信接続を開くには、INPUTチェインを使用します。
sudo iptables -I INPUT -p tcp -m tcp --dport 22 -j ACCEPTを使用してポートを開く この例では、ポート22への受信接続を開いていますが、22を開きたいポートに置き換えることができます。- 送信ポートを開く場合は、INPUTをOUTPUTに置き換えましょう。
- UDPポートを開く場合は、tcpをudpに置き換えましょう。
- 特定のIPアドレスやサブネットに対してのみポートを開くには、sudo iptables -I INPUT -s xxx.xxx.xxx.xxx -p tcp -m tcp --dport 22 -j ACCEPTを使用します。
sudo service iptables saveを使用して変更を保存する それでもうまくいかない場合は、以下のいずれかのコマンドを試してみましょう。- Ubuntu、Debian の場合:sudo /sbin/iptables-save
- CentOS、RedHat、Fedora の場合:/sbin/service iptables save
- ポートを閉じるには、iptables -I INPUT -p tcp –-dport 22 -j REJECTを使用します。「22」を閉じたいポートに置き換えましょう。現在サーバーにSSH接続している場合は、絶対にポート22を閉じてはいけません。
広告
Ubuntuサーバーにログインする UFWは、すべてのUbuntuシステムにプリインストールされています。GUIインターフェースにログインしている場合は、ターミナルウィンドウを開きましょう。
sudo ufw status verboseと入力し、↵ Enterキーを押す UFWがすでに起動している場合は、ステータスメッセージと、既存のファイアウォールルール(開いているポートを含む)のリストが表示されます。- Status: inactiveというメッセージが表示された場合は、ファイアウォールを起動する必要があります。
- sudo ufw enableと入力し、Enterキーを押すと、ファイアウォールが起動します。[1]
- ファイアウォールロギングを有効にするには、sudo ufw logging onを使用します。
![How.com.vn 日本語: Step 3 sudo ufw allow [ポート番号]](https://www.wikihow.com/images/thumb/6/62/Open-Ports-in-Linux-Server-Firewall-Step-3-Version-2.jpg/v4-728px-Open-Ports-in-Linux-Server-Firewall-Step-3-Version-2.jpg)
sudo ufw allow [ポート番号]を使用してポートを開く 例えば、SSHポート(22)を開く場合は、sudo ufw allow 22と入力し、Enterキーを押すと、ポートが開きます。変更はすぐに反映されるので、ファイアウォールを再起動する必要はありません。[2]- 開くポートが/etc/servicesに記載されているサービスのものであれば、ポート番号の代わりにサービス名を入力すればよいでしょう(例:sudo ufw allow ssh)。
- 特定の範囲のポートを開くには、sudo ufw allow 6000:6007/tcpという構文を使用し、6000:6007を実際の範囲に置き換えます。UDPポートの場合は、tcpをudpに置き換えましょう。
- ポートにアクセスできるIPアドレスを指定するには、sudo ufw allow from 10.0.0.1 to any port 22という構文を使用します。10.0.0.1をIPアドレスに、22をそのアドレスに対して開きたいポートに置き換えましょう。
- ポートを閉じるには、sudo ufw deny 22を使用し、22を閉じたいポートに置き換えます。
不要なファイアウォールルールを削除する 特に開いていないポートは、デフォルトでブロックされています。ポートを開いていて、閉じたくなった場合は、以下の手順で行いましょう。- sudo ufw status numberedと入力し、Enterキーを押すと、すべてのファイアウォールルールのリストが表示されます。各ファイアウォールルールは、リストの番号を表す数字で始まります。
- 削除したいルールの先頭にある番号を確認します。例えば、ポート22を開くルールを削除したいとします(現在SSHを使用してサーバーにアクセスしている場合は、この操作を行ってはいけません)。このルールは2行目に表示されています。
- sudo ufw delete 2と入力し、Enterキーを押すと、2行目のルールが削除されます。
広告
![How.com.vn 日本語: Step 3 sudo ufw allow [ポート番号]](https://www.how.com.vn/todo/ja/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB:Open-Ports-in-Linux-Server-Firewall-Step-3-Version-2.jpg)
サーバーにログインする CentOS、Red Hat Enterprise、SUSE、Fedoraシステムでfirewalldを使用している場合は、コマンドラインから簡単にポートを開くことができます。firewalldは、これらすべてのディストリビューションにおけるデフォルトのファイアウォールソリューションです。[3]
firewall-cmd --list-portsを実行して開いているすべてのポートを表示する- または、sudo firewall-cmd --list-allを実行してfirewalldの構成全体を表示し、許可および拒否されたすべてのポートとサービスを表示しましょう。
firewall-cmdコマンドを使用してポートを開く 以下の例では、リモートアクセスに対してSSHポート(22)を開く方法を紹介します。- firewall-cmd --zone=public --add-port=22/tcpで、ポートはすぐに開きますが、この変更は永続的なものではありません。
- この変更を永続的なものにするには、firewall-cmd --zone=public --permanent --add-port=22/tcpというコマンドに--permanentフラグを追加します。[4]
- UDPポートを開くには、tcpをudpに置き換えます。
- サービス名でポートを開くには、firewall-cmd --zone=public --permanentを使用します。
特定のIPアドレに対してポートを開く あるIPアドレスとの間の接続のみを許可したい場合は、そのアドレスの新しいファイアウォールゾーンを作成する必要があります。- 新しいゾーンを作成するには、firewall-cmd --new-zone=MYZONENAME --permanentを使用します。
- 次に、firewall-cmd –reloadを実行して構成を更新します。
- firewall-cmd --get-zonesを実行すると、新しいゾーンが表示されます。
- IPアドレスをゾーンにリンクさせるには、firewall-cmd --zone=MYZONENAME --add-source=10.0.0.1 --permanentを使用します。同じIPアドレスを適切なアドレスに置き換えましょう。
- 次に、「public」ではなくゾーン名を指定してゾーンに対してポートを開きます(例:firewall-cmd --zone=MYZONENAME --permanent --add-port=22/tcp)。
ポートを閉じる ポートを閉じる必要がある場合は、firewall-cmdコマンドで異なるフラグを使用すれば閉じることができます。例えば、外部に対してポート22を完全に閉じる場合は、firewall-cmd --zone=public --remove-port=22/tcp --permanentのようになります。[5]広告
サーバーにログインする rootユーザーとしてログインしていない場合は、rootにsuして構成を調整するか、コマンドの前にsudoを付けましょう。
CSFの構成ファイルを含むディレクトリに移動する このファイルはcsf.confという名前で、デフォルトでは/etc/csf/csf.confに保存されています。[6]これを行うには、cd /etc/csfと入力し、↵ Enterキーを押します。
テキストエディタでcsf.confを開く vimやnanoなど、任意のテキストエディタをしようできます。- vimでcsf.confを開くには、vim csf.configと入力し、↵ Enterキーを押します。
TCP_INリストにTCP受信ポートを追加する ファイルを開くと、TCP_INセクションとTCP_OUTセクションが表示されます。TCP_INセクションには、開いているTCP受信ポートがカンマで区切られて一覧表示されています。ポートは、わかりやすいように番号順になっていますが、この順番にこだわる必要はありません。カンマで区切るだけで、ポートを配列の末尾に追加できます。- 例えば、ポート999を開きたい場合、現在開いているポートが20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 993, 995であるとします。
- ポート999をリストに追加すると、20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 993, 995, 999のようになります。
- vimで挿入(入力)モードにするには、キーボードのiキーを押します。
TCP_OUTリストにTCP送信ポートを追加する TCP受信ポートで行った手順と同様に、開きたいTCP送信ポートをTCP_OUTリストに追加します。
変更を保存してファイルを閉じる 以下の手順でファイルを保存して閉じます。- Escキーを押します。
- :wq!と入力します。
- ↵ Enterキーを押します。
service csf restartと入力し、↵ Enterキーを押す ファイアウォールが再起動し、新しいポートが開きます。- ポートを拒否するには、ファイルを再度開き、ポートを削除してファイルを保存し、ファイアウォールを再起動します。
広告
Linuxサーバーにログインする LinuxシステムでAPFを使用している場合は、APFの構成ファイルでファイアウォールの構成を変更します。
APFの構成ファイルを含むディレクトリに移動する このファイルはconf.apfという名前で、デフォルトでは/etc/apfに保存されています。[7]cd /etc/apfと入力すると、そのディレクトリに移動します。
テキストエディタで/etc/apf/conf.apfを開く vimやnanoなど、任意のテキストエディタを使用できます。- vimでconf.apfを開くには、sudo vim /etc/apf/conf.apfと入力し、Enterキーを押します。
IG_TCP_CPORTSリストにTCP受信ポートを追加する ファイルを開くと、IG_TCP_CPORTSセクションとEG_TCP_CPORTSセクションが表示されます。IG_TCP_CPORTSセクションには、開いているTCP受信ポートがカンマで区切られて一覧表示されています。ポートは、わかりやすいように番号順になっていますが、それにこだわる必要はありません。カンマで区切るだけで、ポートを配列の末尾に追加できます。- 例えば、ポート999を開きたい場合、現在開いているポートが20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 993, 995であるとします。
- IG_TCP_CPORTSリストにポート999を追加すると、20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 993, 995, 999のようになります。
- vimで挿入(入力)モードにするには、キーボードのiキーを押します。
EG_TCP_CPORTSリストにTCP送信ポートを追加する TCP受信ポートで行った手順と同様に、開きたいTCP送信ポートをEG_TCP_CPORTSリストに追加します。
変更を保存してファイルを閉じる 以下の手順でファイルを保存して閉じます。- Escキーを押します。
- :wq! と入力します。
- Enterキーを押します。
service apf -rと入力し、↵ Enterキーを押す APFが再起動し、新しいポートが開きます。- ポートを拒否するには、ファイルを再度開き、ポートを削除してファイル保存し、ファイアウォールを再起動します。
広告
ポイント
- 使用していないポートやサービスを実行していないポートがある場合は、そのポートを閉じましょう。侵入者のためにドアを開けたままにしておくべきではありません。
- むやみやたらと開いているポートを適当に追加し始めると、ハッキングされてしまいます。どうしても必要な場合のみポートを開きましょう。
広告
出典
- ↑ https://wiki.ubuntu.com/UncomplicatedFirewall
- ↑ https://help.ubuntu.com/lts/serverguide/firewall.html
- ↑ https://firewalld.org/
- ↑ https://firewalld.org/documentation/howto/open-a-port-or-service.html
- ↑ https://docs.fedoraproject.org/en-US/quick-docs/firewalld/
- ↑ https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-config-server-firewall-csf-on-ubuntu
- ↑ https://docs.cpanel.net/knowledge-base/general-systems-administration/how-to-configure-your-firewall-for-cpanel-services/
このHow.com.vn記事について
パソコン・ITスペシャリスト
この記事の共著者 : Luigi Oppido. ルイージ・オピドはカリフォルニア州サンタクルーズ市のパソコン修理専門店「Pleasure Point Computers」経営者です。25年以上にわたりパソコン修理全般、データ復元、ウイルス除去、アップグレードなどのサービスを請け負っています。また、カリフォルニア中部でKSCOにて放送中の番組、「Computer Man Show! 」の司会者も務めています。 この記事は5,885回アクセスされました。
このページは 5,885 回アクセスされました。
この記事は役に立ちましたか?
⚠️ Disclaimer:
Content from Wiki How 日本語 language website. Text is available under the Creative Commons Attribution-Share Alike License; additional terms may apply.
Wiki How does not encourage the violation of any laws, and cannot be responsible for any violations of such laws, should you link to this domain, or use, reproduce, or republish the information contained herein.
- - A few of these subjects are frequently censored by educational, governmental, corporate, parental and other filtering schemes.
- - Some articles may contain names, images, artworks or descriptions of events that some cultures restrict access to
- - Please note: Wiki How does not give you opinion about the law, or advice about medical. If you need specific advice (for example, medical, legal, financial or risk management), please seek a professional who is licensed or knowledgeable in that area.
- - Readers should not judge the importance of topics based on their coverage on Wiki How, nor think a topic is important just because it is the subject of a Wiki article.
広告
