ファイアウォール

提供: ArchWiki
2016年12月28日 (水) 22:01時点におけるKusakata (トーク | 投稿記録)による版 (同期)
ナビゲーションに移動 検索に移動

ファイアウォールとは、権限のないアクセスやプライベートネットワーク(マシンは一つだけという事もありえます)からマシンを守るために設計されたシステムのことです。ハードウェアやソフトウェアだけで実装することもできますし、両方を組み合わせてファイアウォールを作ることもできます。ファイアウォールはインターネット(特にイントラネット)に専属されたプライベートネットワークのアクセスから権限のないインターネットユーザーを守るために使われることがしばしばあります。イントラネットを出入りする全てのメッセージはファイアウォールに通され、それぞれのメッセージが検査され、セキュリティ設定に基づいて許可されたり拒否されます。

このページにリストアップされているファイアウォールはほとんど全て iptables がベースになっています。The Arch Way を守るために (下で触れられている) wiki ページに従って自分自身で iptables を設定することも考慮してください。

フォーラムには様々なファイアウォールアプリやスクリプトについての投稿が存在します。ここではそれらを一つのページに要約しています。それぞれのファイアウォールについて、特に Shields Up のセキュリティチェックや使いやすさなど、あなたのコメントを追記してください。

ノート: LAN 内にルーターが存在する場合 Shields Up によるチェックはルーターの安全性の検査にすぎません。ソフトウェアファイアウォールを正確に検査したい場合は、マシンを直接ケーブルモデムに接続してください。

ファイアウォールのガイドとチュートリアル

他サイトのファイアウォールチュートリアル

iptables

Linux カーネルには内蔵のファイアウォールとして iptables が含まれています。 ユーザースペースユーティリティを使って直接設定することも、GUI の設定ツールをインストールすることも可能です。

コンソールフロントエンド

  • Arno's firewall — シングル・マルチホーム両方のマシンのためのセキュアなファイアウォールです。設定しやすく細かくカスタマイズ可能で、以下をサポートしています: NAT と SNAT、ポートフォワーディング、固定・動的 IP が設定された ADSL イーサネットモデム、MAC アドレスフィルタリング、ステルスポートスキャン検知、DMZ と DMZ-2-LAN フォワーディング、SYN/ICMP 攻撃からの防御、ログ攻撃を防ぐためにレートを制限できる拡張性のあるユーザー定義ログ、IPsec などの全ての IP プロトコルと VPN、機能を追加するためのプラグイン。
http://rocky.eld.leidenuniv.nl/ || arno-iptables-firewallAUR
  • ferm — 複雑なファイアウォールを管理するためのツールです。何度も複雑なルールを書きなおすことがないようになっています。ferm では複数のファイルに分割してファイアウォールのルールを保存でき、1つのコマンドでそれらをロードします。ファイアウォールの設定は構造化プログラミングライクな言語に似ており、レベルとリストを含むことができます。
http://ferm.foo-projects.org/ || ferm
  • Firehol — ファイアウォールのルールを記述する言語で、ファイアウォールを作成するようなただのスクリプトではありません。凝ったファイアウォールを簡単に作成することができます。
http://firehol.sourceforge.net/ || fireholAUR
  • Firetable — "人間に読める" (human readable) 構文を持った iptables ベースのファイアウォールです。
http://projects.leisink.net/Firetable || firetableAUR
  • Shorewall — Netfilter を設定するための高水準ツールです。設定ファイルの中にファイアウォール・ゲートウェイの必要条件をエントリを使って記述します。
http://www.shorewall.net/ || shorewall
  • ufw — iptables のシンプルなフロントエンド。
https://launchpad.net/ufw || ufw
  • PeerGuardian Linux — プライバシーを指向しているファイアウォールアプリケーション。ブロックリスト (数千・数百万の IP) に指定されているホストからの接続をブロックします。
http://sourceforge.net/projects/peerguardian/ || pgl-cliAUR
  • Vuurmuur — パワフルなファイアウォールマネージャです。簡単に設定を行うことができ、単純な設定だけでなく複雑な設定も作ることができます。設定は全て ncurses GUI で行うので、SSH やコンソールを通してリモートで管理することが可能です。Vuurmuur はトラフィックシェーピングをサポートし、パワフルなモニタリング機能を持ち、そしてリアルタイムでのログ・接続・帯域使用量の監視ができます。
http://www.vuurmuur.org/ || vuurmuurAUR

グラフィカルフロントエンド

  • Firestarter — GTK2 で書かれた iptables のための GUI です。トラフィックを調整するためのホワイト・ブラックリストを作ることができます。非常に使いやすく、ウェブサイトには読みやすいドキュメントが存在します。
http://www.fs-security.com/ || FirestarterAUR
  • Firewall Builder — GUI のファイアウォール設定・管理ツールで iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA), Cisco ルーター拡張アクセスリストをサポートしています。プログラムは Linux, FreeBSD, OpenBSD, Windows, macOS で動作し、ローカルとリモート両方のファイアウォールを管理できます。
http://www.fwbuilder.org/ || fwbuilder
  • firewalld — ファイアウォールのルールの設定だけでなくネットワークやファイアウォールゾーンも設定できるグラフィカルインターフェイスとデーモンを提供します。
https://fedoraproject.org/wiki/FirewallD || firewalld
  • Gufw — iptables の CLI フロントエンドである ufw の GTK ベースのフロントエンドです (gufw->ufw->iptables)。非常に簡単でシンプルに使えます。
http://gufw.org/ || gufw
  • PeerGuardian Linux — プライバシーを指向しているファイアウォールアプリケーション。ブロックリスト (数千・数百万の IP) に指定されているホストからの接続をブロックします。
http://sourceforge.net/projects/peerguardian/ || pglAUR
  • kcm-ufw — Gufw の KDE バージョンです。
http://kde-apps.org/content/show.php?content=137789 || kcm-ufwAUR

nftables

nftables は従来の ip-, ip6-, arp-, ebtables フレームワークを置き換えることを目指している netfilter プロジェクトです。いつの間にか iptables を置き換えると言われています。単純な構文で高い性能を発揮します。

その他

  • EtherApe — 様々な OSI 階層・プロトコルに対応したグラフィカルなネットワークモニター。
http://etherape.sourceforge.net/ || etherape
  • Fail2ban — デーモンの認証に何度も失敗した IP を BAN する。
http://www.fail2ban.org/ || fail2ban

参照