Firewalls (日本語)

ファイアウォールとは、権限のないアクセスやプライベートネットワーク（マシンは一つだけという事もありえます）からマシンを守るために設計されたシステムのことです。ハードウェアやソフトウェアだけで実装することもできますし、両方を組み合わせてファイアウォールを作ることもできます。ファイアウォールはインターネット（特にイントラネット）に専属されたプライベートネットワークのアクセスから権限のないインターネットユーザーを守るために使われることがしばしばあります。イントラネットを出入りする全てのメッセージはファイアウォールに通され、それぞれのメッセージが検査され、セキュリティ設定に基づいて許可されたり拒否されます。

このページにリストアップされているファイアウォールはほとんど全て iptables がベースになっています。The Arch Way (日本語) を守るために (下で触れられている) wiki ページに従って自分自身で iptables を設定することも考慮してください。

There are many posts on the forums about different firewall apps and scripts so here they all are condensed into one page - please add your comments about each firewall, especially ease of use and a security check at Shields Up.

Note: Checks at Shields Up are only a valid measure of your router should you have one in the LAN. To accurately evaluate a software firewall, one needs to directly connect the box to the cable modem.

ファイアウォールガイド＆チュートリアル

Simple Stateful Firewall: iptables で包括的なファイアウォールを設定する方法。

Uncomplicated Firewall: iptables のシンプルなフロントエンド、ufw の wiki ページ。基本的な設定のチュートリアルがあります。

Router セットアップガイド。コンピュータをインターネットゲートウェイ・ルーターにするためのチュートリアル。セキュリティホールが出来る限り少なくなるよう設定することにフォーカスしています。

他サイトのファイアウォールチュートリアル

http://www.frozentux.net/documents/iptables-tutorial/ iptables の完全でシンプルなチュートリアル

http://tldp.org/HOWTO/Masquerading-Simple-HOWTO/IP Masq is a form of Network Address Translation or NAT that allows internally networked computers that do not have one or more registered Internet IP addresses to have the ability to communicate to the Internet via your Linux boxes single Internet IP address.

http://tldp.org/HOWTO/Masquerading-Simple-HOWTO/ Masquerading, transparent proxying, port forwarding, and other forms of Network Address Translations with the 2.4 Linux Kernels.

iptables フロントエンド

iptables

Iptables — Netfilter プロジェクトとして Linux カーネルにビルトインされているパワフルなファイアウォールです。以下のセクションで書かれているファイアウォールはほとんど iptables のフロントエンドです。

http://www.netfilter.org/projects/iptables/index.html || iptables

man ページも参照: (man iptables) – http://unixhelp.ed.ac.uk/CGI/man-cgi?iptables+8

Arno's Firewall

Arno's IPTABLES Firewall Script はシングル・マルチホーム両方のマシンのためのセキュアなファイアウォールです。

スクリプト:

設定しやすく細かくカスタマイズ可能
デーモンスクリプトが含まれている
ファイアウォールログを読みやすくするフィルタースクリプト

サポート:

NAT と SNAT
ポートフォワーディング
固定・動的 IP が設定された ADSL イーサネットモデム
MAC アドレスフィルタリング
ステルスポートスキャン検知
DMZ と DMZ-2-LAN フォワーディング
SYN/ICMP 攻撃からの防御
ログ攻撃を防ぐためにレートを制限できる拡張性のあるユーザー定義ログ
IPsec などの全ての IP プロトコルと VPN
機能を追加するためのプラグインをサポート

ferm

ferm ("For Easy Rule Making") は複雑なファイアウォールを管理するためのツールです。何度も複雑なルールを書きなおすことがないようになっています。ferm では複数のファイルに分割してファイアウォールのルールを保存でき、１つのコマンドでそれらをロードします。ファイアウォールの設定は構造化プログラミングライクな言語に似ており、レベルとリストを含むことができます。

Firehol

FireHOL はファイアウォールのルールを記述する言語で、ファイアウォールを作成するようなただのスクリプトではありません。凝ったファイアウォールを簡単に作成することができます。作成されるものは iptables のルールになります。

firehol は公式リポジトリで利用可能です。

Firetable

Firetable は"人間に読める" (human readable) 構文を持った iptables ベースのファイアウォールです。

firetable は AUR にあります。

Shorewall

The Shoreline Firewall ("Shorewall") は Netfilter を設定するためのツールです。設定ファイルの中にファイアウォール・ゲートウェイの必要条件をエントリを使って記述します。Shorewall はそれらの設定ファイルを読み込み iptables ユーティリティの助けを借りて、Netfilter をあなたの必要条件にあわせて設定します。Shorewall は専用のファイアウォールシステム（多機能ゲートウェイ・ルーター・サーバーやスタンドアローンの GNU/Linux システム）で使用することが可能です。Shorewall は Netfilter の ipchains 互換モードを使わないので Netfilter の接続状態トラッキングと互換性があります。

shorewall は公式リポジトリで利用可能です。

ufw

ufw (uncomplicated firewall) は iptables のシンプルなフロントエンドで、公式リポジトリから利用できます。

詳しくは Uncomplicated Firewall を見て下さい。

Vuurmuur

Vuurmuur Vuurmuur は iptables の上に作られたパワフルなファイアウォールマネージャです。簡単に設定を行うことができ、単純な設定だけでなく複雑な設定も作ることができます。設定は全て ncurses GUI で行うので、SSH やコンソールを通してリモートで管理することが可能です。Vuurmuur はトラフィックシェーピングをサポートし、パワフルなモニタリング機能を持ち、そしてリアルタイムでのログ・接続・帯域使用量の監視ができます。

Vuurmuur は AUR にあります。

iptables GUI

Firestarter

Firestarter は GTK2 で書かれた iptables のための GUI です。トラフィックを調整するためのホワイト・ブラックリストを作ることができます。非常に使いやすく、ウェブサイトには読みやすいドキュメントが存在します。

Firestarter は GNOME に依存しており AUR からインストールできます。

Guarddog

Guarddog は iptables 設定用の非常に使いやすい GUI です。基本的な設定をするだけで Shields Up テストを完全にパスします。

Guarddog には kdelibs3 が必要で AUR から利用できます。

起動時にファイアウォール設定を使うには /etc/rc.local の中で /etc/rc.firewall を実行する必要があります。

Uncomplicated Firewall (ufw) フロントエンド

Gufw は iptables の CLI フロントエンドである ufw の GTK ベースのフロントエンドです (gufw->ufw->iptables)。非常に簡単でシンプルに使えます。

Note: 最近サポートが打ち切られた tcp_wrappers の代わりになるものの中で、おそらく Gufw は一番シンプルです。

kcm-ufw は Gufw の KDE バージョンです。

詳しくは Uncomplicated Firewall を見て下さい。

KMyFirewall

KMyFirewall は iptables の KDE3 GUI です。

ファイアウォール設定機能はシンプルで初心者にとって使いやすく、凝った設定をすることも可能です。

KMyFirewall には kdelibs3 が必要で AUR から利用できます。

firewalld

firewalld はファイアウォールのルールの設定だけでなくネットワークやファイアウォールゾーンも設定できるグラフィカルインターフェイスとデーモンを提供します。

firewalld は公式リポジトリで利用可能です。

Firewall Builder

Firewall Builder は "GUI のファイアウォール設定・管理ツールで iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA), Cisco ルーター拡張アクセスリストをサポートしています。 [...] プログラムは Linux, FreeBSD, OpenBSD, Windows, Mac OS X で動作し、ローカルとリモート両方のファイアウォールを管理できます。" ソース: http://www.fwbuilder.org/

fwbuilder は公式リポジトリで利用可能です。

その他

EtherApe — 様々な OSI 階層・プロトコルに対応したグラフィカルなネットワークモニター。

http://etherape.sourceforge.net/ || etherape

Fail2ban — デーモンの認証に何度も失敗した IP を BAN する。

http://www.fail2ban.org/ || fail2ban

参照

Debian Wiki's list of Firewalls: http://wiki.debian.org/Firewalls

Firewalls (日本語)

Contents