Deep Securityでのiptablesの使用

Deep Security Agent 10.1以前をLinuxにインストールした場合は、ファイアウォールの競合を避けるために、初期設定でiptablesサービスが無効になっていました (ただし、この変更を防止する設定ファイルが追加されていた場合は例外です)。iptablesサービスはファイアウォール以外にも使用されているため (たとえば、Dockerは通常動作の一貫としてiptablesルールを管理します)、iptablesを無効にすると、悪影響を及ぼすことがありました。

Deep Security 10.2以降 (Deep Security 11を含む) では、iptablesに関連する動作が変更されています。Deep Security Agentによりiptablesが無効化されなくなりました(iptablesが有効な場合は、Agentのインストール後も有効のままです。iptablesが無効な場合は、無効のままです)。ただし、iptablesサービスが実行されている場合、 Deep Security AgentおよびDeep Security Managerでは、以下に説明するように特定のiptablesルールが必要です。

Deep Security Managerの実行に必要なルール

Deep Security Managerがインストールされているコンピュータでiptablesが有効な場合に必要なiptablesルールが2つあります。初期設定では、Deep Security Managerの起動時にこれらのルールが追加され、Managerを停止またはアンインストールするとこれらのルールが削除されます。あるいは、Deep Securityによるiptablesルールの自動追加を防ぐ、手動で次のルールを追加することもできます。

  • ポート4119で受信トラフィックを許可します。このルールは、Deep Security ManagerのWeb UIおよびAPIへのアクセスに必要です。
  • ポート4120で受信トラフィックを許可します。このルールは、Agentのハートビートの待機に必要です(詳細については、AgentとManagerの通信を参照してください)。

これらのポート番号は初期設定の番号のため、環境によっては異なるポートが使用されている場合もあります。Deep Securityで使用されるポートの完全なリストについては、 ポート番号、URL、およびIPアドレスを参照してください。

Deep Security Agentの実行に必要なルール

Deep Security Agentがインストールされているコンピュータでiptablesが有効な場合は、iptablesルールの追加が必要になる場合があります。初期設定では、Deep Security Agentの起動時にこれらのルールが追加され、Agentを停止またはアンインストールするとこれらのルールが削除されます。あるいは、Deep Securityによるiptablesルールの自動追加を防ぐ、手動で次のルールを追加することもできます。

  • ポート4118で受信トラフィックを許可します。このルールは、AgentがManagerからの通信または双方向通信を使用している場合に必要です(詳細については、AgentとManagerの通信を参照してください)。
  • ポート4122で受信トラフィックを許可します。このルールは、AgentがRelayとして機能する場合に、ソフトウェアのアップデートを配信できるようにするために必要です(詳細については、追加のリレーを配信するを参照してください)。

これらのポート番号は初期設定の番号のため、環境によっては異なるポートが使用されている場合もあります。Deep Securityで使用されるポートの完全なリストについては、 ポート番号、URL、およびIPアドレスを参照してください。

Deep Securityによるiptablesルールの自動追加を防ぐ

必要なルールを手動で追加する場合は、 Deep Security ManagerおよびDeep Security Agentでiptablesを変更できないようにできます。iptablesを自動的に変更しないようにするには、 Deep Security ManagerおよびDeep Security Agentをインストールするコンピュータに次のファイルを作成します。

/etc/do_not_open_ports_on_iptables