Firewalls (日本語)

From ArchWiki
Revision as of 09:05, 20 March 2013 by Kusakata (Talk | contribs) (Created page with "Category:Firewalls (日本語) en:Firewalls es:Firewalls it:Firewalls sr:Firewalls sv:Brandväggar ファイアウォールとは、権限のないア...")

(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

ファイアウォールとは、権限のないアクセスやプライベートネットワーク(マシンは一つだけという事もありえます)からマシンを守るために設計されたシステムのことです。ハードウェアやソフトウェアだけで実装することもできますし、両方を組み合わせてファイアウォールを作ることもできます。ファイアウォールはインターネット(特にイントラネット)に専属されたプライベートネットワークのアクセスから権限のないインターネットユーザーを守るために使われることがしばしばあります。イントラネットを出入りする全てのメッセージはファイアウォールに通され、それぞれのメッセージが検査され、セキュリティ設定に基づいて許可されたり拒否されます。

このページにリストアップされているファイアウォールはほとんど全て iptables がベースになっています。The Arch Way (日本語) を守るために (下で触れられている) wiki ページに従って自分自身で iptables を設定することも考慮してください。

There are many posts on the forums about different firewall apps and scripts so here they all are condensed into one page - please add your comments about each firewall, especially ease of use and a security check at Shields Up.

Note: Checks at Shields Up are only a valid measure of your router should you have one in the LAN. To accurately evaluate a software firewall, one needs to directly connect the box to the cable modem.

ファイアウォールガイド&チュートリアル

  • Uncomplicated Firewall: iptables のシンプルなフロントエンド、ufw の wiki ページ。基本的な設定のチュートリアルがあります。
  • Router セットアップガイド。コンピュータをインターネットゲートウェイ・ルーターにするためのチュートリアル。セキュリティホールが出来る限り少なくなるよう設定することにフォーカスしています。

他サイトのファイアウォールチュートリアル

  • http://tldp.org/HOWTO/Masquerading-Simple-HOWTO/IP Masq is a form of Network Address Translation or NAT that allows internally networked computers that do not have one or more registered Internet IP addresses to have the ability to communicate to the Internet via your Linux boxes single Internet IP address.

iptables フロントエンド

iptables

  • IptablesNetfilter プロジェクトとして Linux カーネルにビルトインされているパワフルなファイアウォールです。以下のセクションで書かれているファイアウォールはほとんど iptables のフロントエンドです。
http://www.netfilter.org/projects/iptables/index.html || iptables

man ページも参照: (man iptables) – http://unixhelp.ed.ac.uk/CGI/man-cgi?iptables+8

Arno's Firewall

Arno's IPTABLES Firewall Script はシングル・マルチホーム両方のマシンのためのセキュアなファイアウォールです。

スクリプト:

  • 設定しやすく細かくカスタマイズ可能
  • デーモンスクリプトが含まれている
  • ファイアウォールログを読みやすくするフィルタースクリプト

サポート:

  • NAT と SNAT
  • ポートフォワーディング
  • 固定・動的 IP が設定された ADSL イーサネットモデム
  • MAC アドレスフィルタリング
  • ステルスポートスキャン検知
  • DMZ と DMZ-2-LAN フォワーディング
  • SYN/ICMP 攻撃からの防御
  • ログ攻撃を防ぐためにレートを制限できる拡張性のあるユーザー定義ログ
  • IPsec などの全ての IP プロトコルと VPN
  • 機能を追加するためのプラグインをサポート

ferm

ferm ("For Easy Rule Making") は複雑なファイアウォールを管理するためのツールです。何度も複雑なルールを書きなおすことがないようになっています。ferm では複数のファイルに分割してファイアウォールのルールを保存でき、1つのコマンドでそれらをロードします。ファイアウォールの設定は構造化プログラミングライクな言語に似ており、レベルとリストを含むことができます。

Firehol

FireHOL はファイアウォールのルールを記述する言語で、ファイアウォールを作成するようなただのスクリプトではありません。凝ったファイアウォールを簡単に作成することができます。作成されるものは iptables のルールになります。

firehol公式リポジトリで利用可能です。

Firetable

Firetable は"人間に読める" (human readable) 構文を持った iptables ベースのファイアウォールです。

firetableAURAUR にあります。

Shorewall

The Shoreline Firewall ("Shorewall") は Netfilter を設定するためのツールです。設定ファイルの中にファイアウォール・ゲートウェイの必要条件をエントリを使って記述します。Shorewall はそれらの設定ファイルを読み込み iptables ユーティリティの助けを借りて、Netfilter をあなたの必要条件にあわせて設定します。Shorewall は専用のファイアウォールシステム(多機能ゲートウェイ・ルーター・サーバーやスタンドアローンの GNU/Linux システム)で使用することが可能です。Shorewall は Netfilter の ipchains 互換モードを使わないので Netfilter の接続状態トラッキングと互換性があります。

shorewall公式リポジトリで利用可能です。

ufw

ufw (uncomplicated firewall) は iptables のシンプルなフロントエンドで、公式リポジトリから利用できます。

詳しくは Uncomplicated Firewall を見て下さい。

Vuurmuur

Vuurmuur Vuurmuur は iptables の上に作られたパワフルなファイアウォールマネージャです。簡単に設定を行うことができ、単純な設定だけでなく複雑な設定も作ることができます。設定は全て ncurses GUI で行うので、SSH やコンソールを通してリモートで管理することが可能です。Vuurmuur はトラフィックシェーピングをサポートし、パワフルなモニタリング機能を持ち、そしてリアルタイムでのログ・接続・帯域使用量の監視ができます。

VuurmuurAURAUR にあります。

iptables GUI

Firestarter

Firestarter は GTK2 で書かれた iptables のための GUI です。トラフィックを調整するためのホワイト・ブラックリストを作ることができます。非常に使いやすく、ウェブサイトには読みやすいドキュメントが存在します。

FirestarterAURGNOME に依存しており AUR からインストールできます。

Guarddog

Guarddog は iptables 設定用の非常に使いやすい GUI です。基本的な設定をするだけで Shields Up テストを完全にパスします。

GuarddogAUR には kdelibs3 が必要で AUR から利用できます。

起動時にファイアウォール設定を使うには /etc/rc.local の中で /etc/rc.firewall を実行する必要があります。

Uncomplicated Firewall (ufw) フロントエンド

Gufw は iptables の CLI フロントエンドである ufw の GTK ベースのフロントエンドです (gufw->ufw->iptables)。非常に簡単でシンプルに使えます。

Note: 最近サポートが打ち切られた tcp_wrappers の代わりになるものの中で、おそらく Gufw は一番シンプルです。

kcm-ufw は Gufw の KDE バージョンです。

詳しくは Uncomplicated Firewall を見て下さい。

KMyFirewall

KMyFirewall は iptables の KDE3 GUI です。

ファイアウォール設定機能はシンプルで初心者にとって使いやすく、凝った設定をすることも可能です。

KMyFirewallAUR には kdelibs3 が必要で AUR から利用できます。

firewalld

firewalld はファイアウォールのルールの設定だけでなくネットワークやファイアウォールゾーンも設定できるグラフィカルインターフェイスとデーモンを提供します。

firewalld公式リポジトリで利用可能です。

Firewall Builder

Firewall Builder は "GUI のファイアウォール設定・管理ツールで iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA), Cisco ルーター拡張アクセスリストをサポートしています。 [...] プログラムは Linux, FreeBSD, OpenBSD, Windows, Mac OS X で動作し、ローカルとリモート両方のファイアウォールを管理できます。" ソース: http://www.fwbuilder.org/

fwbuilder公式リポジトリで利用可能です。

その他

  • EtherApe — 様々な OSI 階層・プロトコルに対応したグラフィカルなネットワークモニター。
http://etherape.sourceforge.net/ || etherape
  • Fail2ban — デーモンの認証に何度も失敗した IP を BAN する。
http://www.fail2ban.org/ || fail2ban

参照

Debian Wiki's list of Firewalls: http://wiki.debian.org/Firewalls