ファイアウォール
ファイアウォールとは、権限のないアクセスやプライベートネットワーク(マシンは一つだけという事もありえます)からマシンを守るために設計されたシステムのことです。ハードウェアやソフトウェアだけで実装することもできますし、両方を組み合わせてファイアウォールを作ることもできます。ファイアウォールはインターネット(特にイントラネット)に専属されたプライベートネットワークのアクセスから権限のないインターネットユーザーを守るために使われることがしばしばあります。イントラネットを出入りする全てのメッセージはファイアウォールに通され、それぞれのメッセージが検査され、セキュリティ設定に基づいて許可されたり拒否されます。
このページにリストアップされているファイアウォールはほとんど全て iptables がベースになっています。The Arch Way を守るために (下で触れられている) wiki ページに従って自分自身で iptables を設定することも考慮してください。
フォーラムには様々なファイアウォールアプリやスクリプトについての投稿が存在します。ここではそれらを一つのページに要約しています。それぞれのファイアウォールについて、特に Shields Up のセキュリティチェックや使いやすさなど、あなたのコメントを追記してください。
目次
ファイアウォールのガイドとチュートリアル
- シンプルなステートフルファイアウォール: iptables で包括的なファイアウォールを設定する方法。
- Uncomplicated Firewall: iptables のシンプルなフロントエンド、ufw の wiki ページ。基本的な設定のチュートリアルがあります。
- ルーターセットアップガイド: コンピュータをインターネットゲートウェイ・ルーターにするためのチュートリアル。セキュリティホールが出来る限り少なくなるよう設定することに焦点を置いています。
他サイトのファイアウォールチュートリアル
- http://www.frozentux.net/documents/iptables-tutorial/ iptables の完全でシンプルなチュートリアル
- http://www.ibiblio.org/pub/linux/docs/HOWTO/other-formats/html_single/IP-Masquerade-HOWTO.html マスカレードとはインターネットの IP アドレスが割り当てられていないコンピュータを内部的にネットワーク接続して単一の IP アドレスで Linux マシンを経由してインターネットに接続できるようにするネットワークアドレス変換 (NAT) の一種です。
- http://tldp.org/HOWTO/Masquerading-Simple-HOWTO/ マスカレード, 透過プロキシ, ポートフォワーディング, その他の Linux カーネル 2.4 によるネットワークアドレス変換。
iptables
Linux カーネルには内蔵のファイアウォールとして iptables が含まれています。 ユーザースペースユーティリティを使って直接設定することも、GUI の設定ツールをインストールすることも可能です。
コンソールフロントエンド
- Arno's firewall — シングル・マルチホーム両方のマシンのためのセキュアなファイアウォールです。設定しやすく細かくカスタマイズ可能で、以下をサポートしています: NAT と SNAT、ポートフォワーディング、固定・動的 IP が設定された ADSL イーサネットモデム、MAC アドレスフィルタリング、ステルスポートスキャン検知、DMZ と DMZ-2-LAN フォワーディング、SYN/ICMP 攻撃からの防御、ログ攻撃を防ぐためにレートを制限できる拡張性のあるユーザー定義ログ、IPsec などの全ての IP プロトコルと VPN、機能を追加するためのプラグイン。
- ferm — 複雑なファイアウォールを管理するためのツールです。何度も複雑なルールを書きなおすことがないようになっています。ferm では複数のファイルに分割してファイアウォールのルールを保存でき、1つのコマンドでそれらをロードします。ファイアウォールの設定は構造化プログラミングライクな言語に似ており、レベルとリストを含むことができます。
- Firehol — ファイアウォールのルールを記述する言語で、ファイアウォールを作成するようなただのスクリプトではありません。凝ったファイアウォールを簡単に作成することができます。
- Firetable — "人間に読める" (human readable) 構文を持った iptables ベースのファイアウォールです。
- Shorewall — Netfilter を設定するための高水準ツールです。設定ファイルの中にファイアウォール・ゲートウェイの必要条件をエントリを使って記述します。
- ufw — iptables のシンプルなフロントエンド。
- PeerGuardian Linux — プライバシーを指向しているファイアウォールアプリケーション。ブロックリスト (数千・数百万の IP) に指定されているホストからの接続をブロックします。
- Vuurmuur — パワフルなファイアウォールマネージャです。簡単に設定を行うことができ、単純な設定だけでなく複雑な設定も作ることができます。設定は全て ncurses GUI で行うので、SSH やコンソールを通してリモートで管理することが可能です。Vuurmuur はトラフィックシェーピングをサポートし、パワフルなモニタリング機能を持ち、そしてリアルタイムでのログ・接続・帯域使用量の監視ができます。
グラフィカルフロントエンド
- Firestarter — GTK2 で書かれた iptables のための GUI です。トラフィックを調整するためのホワイト・ブラックリストを作ることができます。非常に使いやすく、ウェブサイトには読みやすいドキュメントが存在します。
- Firewall Builder — GUI のファイアウォール設定・管理ツールで iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA), Cisco ルーター拡張アクセスリストをサポートしています。プログラムは Linux, FreeBSD, OpenBSD, Windows, macOS で動作し、ローカルとリモート両方のファイアウォールを管理できます。
- firewalld — ファイアウォールのルールの設定だけでなくネットワークやファイアウォールゾーンも設定できるグラフィカルインターフェイスとデーモンを提供します。
- PeerGuardian Linux — プライバシーを指向しているファイアウォールアプリケーション。ブロックリスト (数千・数百万の IP) に指定されているホストからの接続をブロックします。
- kcm-ufw — Gufw の KDE バージョンです。
nftables
nftables は従来の ip-, ip6-, arp-, ebtables フレームワークを置き換えることを目指している netfilter プロジェクトです。いつの間にか iptables を置き換えると言われています。
その他
- EtherApe — 様々な OSI 階層・プロトコルに対応したグラフィカルなネットワークモニター。
- Fail2ban — デーモンの認証に何度も失敗した IP を BAN する。
参照
- http://wiki.debian.org/Firewalls - Debian Wiki のファイアウォール一覧