本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
Deep Securityでのiptablesの使用
Deep Security Agent 10.1以前をLinuxにインストールした場合は、ファイアウォールの競合を避けるために、初期設定でiptablesサービスが無効になっていました (ただし、この変更を防止する設定ファイルが追加されていた場合は例外です)。iptablesサービスはファイアウォール以外にも使用されているため (たとえば、Dockerは通常動作の一貫としてiptablesルールを管理します)、iptablesを無効にすると、悪影響を及ぼすことがありました。
Deep Security 10.2以降 (Deep Security 11を含む) では、iptablesに関連する動作が変更されています。Deep Security Agentによりiptablesが無効化されなくなりました(iptablesが有効な場合は、Agentのインストール後も有効のままです。iptablesが無効な場合は、無効のままです)。ただし、iptablesサービスが有効な場合、Deep Security AgentとDeep Security Managerを正常に実行するには、以下に示すiptablesルールが必要になります。
Deep Security Managerの実行に必要なルール
Deep Security Managerがインストールされているコンピュータでiptablesが有効な場合に必要なiptablesルールが2つあります。初期設定では、Deep Security Managerの起動時にこれらのルールが追加され、Managerを停止またはアンインストールするとこれらのルールが削除されます。あるいは、Deep Securityによるiptablesルールの自動追加を防ぐ、手動で次のルールを追加することもできます。
- ポート4119で受信トラフィックを許可します。このルールは、Deep Security ManagerのWeb UIおよびAPIへのアクセスに必要です。
- ポート4120で受信トラフィックを許可します。このルールは、Agentのハートビートの待機に必要です(詳細については、AgentとManagerの通信を参照してください)。
これらのポート番号は初期設定の番号のため、環境によっては異なるポートが使用されている場合もあります。Deep Securityで使用するすべてのポートのリストについては、ポート番号、URL、およびIPアドレスを参照してください。
Deep Security Agentの実行に必要なルール
Deep Security Agentがインストールされているコンピュータでiptablesが有効な場合は、iptablesルールの追加が必要になる場合があります。初期設定では、Deep Security Agentの起動時にこれらのルールが追加され、Agentを停止またはアンインストールするとこれらのルールが削除されます。あるいは、Deep Securityによるiptablesルールの自動追加を防ぐ、手動で次のルールを追加することもできます。
- ポート4118で受信トラフィックを許可します。このルールは、AgentがManagerからの通信または双方向通信を使用している場合に必要です(詳細については、AgentとManagerの通信を参照してください)。
- ポート4122で受信トラフィックを許可します。このルールは、AgentがRelayとして機能する場合に、ソフトウェアのアップデートを配信できるようにするために必要です(詳細については、Relayによるセキュリティとソフトウェアのアップデートの配布を参照してください)。
これらのポート番号は初期設定の番号のため、環境によっては異なるポートが使用されている場合もあります。Deep Securityで使用するすべてのポートのリストについては、ポート番号、URL、およびIPアドレスを参照してください。
Deep Securityによるiptablesルールの自動追加を防ぐ
必要なルールを自動ではなく手動で追加する場合は、Deep Security ManagerとDeep Security Agentによるiptablesの変更を防ぐことができます。iptablesの自動変更を防ぐには、Deep Security ManagerとDeep Security Agentをインストールする予定があるコンピュータ上で次のファイルを作成します。
/etc/do_not_open_ports_on_iptables