ファイヤーウォールとか

投稿日:

先般入手したサーバが結構早いので、現在このサイト他を新サーバ上に移築中だったりします。

CPUは早くなったもののメモリを現サーバの1GBから384MBと約1/3に減らした→データベースを含んだ実際のパフォーマンスはどうなるかと思ってましたが、MySQLのそうデカくないテーブルに各種クエリーを複合して投げるタイプの動的webアプリケーション(通称「鯖リスト」)で確認したところ、

パース時間が53%とか→概ね2倍速い(!)

という結果がコンスタントに出た(しかもCPU負荷が低い。SMPが効いてるのか??)ので、「こんだけ違うなら」と移築を決意した次第。

まぁ、主負荷たるblogの再構築は主にHDDの速度による→HDDは従来と同じST340014Aなんで、あんまりは変わらなさそうですが(^_^;)

新サーバもルーターの内側に置く予定ですが、念のためiptablesで防御壁を張ります。

# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- ***.***.***.*** 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- ***.***.***.*** 0.0.0.0/0 tcp multiport dports 5801,5901
ACCEPT tcp -- 192.168.1.*** 0.0.0.0/0 tcp multiport dports 5901
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp multiport dports 80,443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
ACCEPT udp -- 192.168.1.0/24 0.0.0.0/0 multiport dports 137,138 udp
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:139
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:2425
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 127.0.0.1 127.0.0.1

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

上から

  1. SSH (オレ専用)
  2. 遠隔VNC (オレ専用) SSLトンネルを透せば不要でした
  3. LAN内VNC (オレ専用)
  4. HTTP、HTTPS
  5. FTP
  6. Webmin(実際にはwebmin側で制限しており、やはり「オレ専用」)
  7. SMB (LAN内限定)
  8. SMB (同上)
  9. IP Messenger (正確にはGIPMSG。同上)
  10. 継続、および関連ポート
  11. ループバック

のみを例外とし、以外のINPUTパケットをすべて遮断(DROP)してます。ばっさり。

ちなみに現段階でルータを貫通してるのは

FTP/SSH/HTTP/VNC/WEBMIN

のみで、SSH/VNC/WEBMINはワタシ専用なので一般公開されてるサービスとしては「FTPとHTTPだけ」ってことになります。

webminで設定したiptablesのルールは、

# /etc/init.d/iptables save

しとかないと再起動したときに適用されません→ファイヤーウォールがハズレた状態になります。一度忘れて冷や汗かいたんで、次に備えてメモ。



その後インターネット経由のVNC(オレ専用)はルータを貫通させず、SSLをトンネルする設定に修正しました。

注意点>

  • ipchainsが動いてない事を確認する

    iptablesとiptablesは同時に組み込めないんで、

    # lsmod

    とやってipchainsが出て来た場合はrmmodで取り除いとく必要があります。ワタシはコレを怠ったため、iptablesを組み込もうとしたらmodprobeが暴走しました。しかも2連続(^^;;

    ファイヤーウォールでがっちりサーバを固めちゃったので、ファイルの転送や同期はrsyncでやってます。

    # rsync -avz -e ssh /home/yas_/ newdomain:/home/yas_/

    「-e ssh」を付けとくと、22番ポート1つでファイルコピーが出来ます(付けないとRSH=514番ポート)。メッチャ便利っす(^_^)

    出来ればsambaもxinetdから呼び出してDirect Hosting of SMB対応にする工事を実施しておけば445番ポート1つで済んでファイヤーウォールの管理がラクなんすけども、未だwin9Xからアクセスする可能性があるので今回は断念。

    ということで、現在も着々と移行準備が進んでおります。近日移築予定。