5.10. UbuntuOSのUFW機能を有効にする方法

Ericom Shieldを導入するUbuntuサーバのUFW機能を有効にすることがセキュリティ要件として 必須 となっている場合に、UFW機能を有効にする参考手順を記載します。

注意

Ericom Shieldとしてのメーカ推奨設定としては、OS上のUFW機能は無効となります。

セキュリティ要件として、UFW機能を有効化することが必須な場合のみ、本手順を参考にUFW機能を有効化する設定をお願いします。

  • 前提条件
    • 本参考手順は、ClusterManagement兼SystemComponent兼FarmServiceサーバとBrowserサーバの最小2台(非冗長)構成の場合を例として記載しております。
      ⇒ 導入構築される環境の構成に準じたUFWルールについて、詳しく確認されたい場合には、サポートセンターに、お問合せください。
    • 本参考手順は、Ericom Shieldを導入セットアップ後に設定いただく場合の手順となります。
    • UFW設定上でIPv6サポートは不要である為、以下のコマンドで無効化することを推奨します。
    $ sudo sed -i 's/^IPV6=.*/IPV6=no/' /etc/default/ufw

  • UFWルールを登録してUFWを有効化する手順

1:サーバ毎に以下UFWルール登録コマンドを各サーバで実行して登録します。
⇒ Flannel方式(デフォルト)とCalico方式(カスタム)の2パターンを記載します。

<デフォルトNW設定のFlannel方式でセットアップしている場合>

  • ClusterManagement兼SystemComponent兼FarmService(CMSCFS)サーバの場合
sudo ufw allow from <下位NW機器IP or エンドユーザ端末IP範囲> to <CMSCFSサーバIP> port 3128 proto tcp
sudo ufw allow from <運用管理端末IP> to <CMSCFSサーバIP> port 8443 proto tcp
sudo ufw allow from <運用管理端末IP> to <CMSCFSサーバIP> port 30181 proto tcp
sudo ufw allow from <運用管理端末IP> to <CMSCFSサーバIP> port 22 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 8443 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 22 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 2376 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 2379 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 2380 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 4789 proto udp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 6443 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 8472 proto udp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 9099 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 10250 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 10254 proto tcp
sudo ufw allow in on flannel.1 from any to any
sudo ufw allow in on cni0 from any to any
sudo ufw allow in on docker0 from any to any
  • Browser(BR)サーバの場合
sudo ufw allow from <運用管理端末IP> to <BRサーバIP> port 22 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 8443 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 22 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 2376 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 2379 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 2380 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 4789 proto udp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 6443 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 8472 proto udp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 9099 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 10250 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 10254 proto tcp
sudo ufw allow in on flannel.1 from any to any
sudo ufw allow in on cni0 from any to any
sudo ufw allow in on docker0 from any to any

<カスタムNW設定のCalico方式でセットアップしている場合>

Docker内部IPについてデフォルト設定の状態で、10.42.0.0/16、10.43.0.0/16の範囲を利用している場合のルールとなります。

内部IP範囲を変更している場合には、許可IP範囲を変更してルール登録をしてください。

  • ClusterManagement兼SystemComponent兼FarmService(CMSCFS)サーバの場合
sudo ufw allow from <下位NW機器IP orエンドユーザ端末IP範囲> to <CMSCFSサーバIP> port 3128 proto tcp
sudo ufw allow from <運用管理端末IP> to <CMSCFSサーバIP> port 8443 proto tcp
sudo ufw allow from <運用管理端末IP> to <CMSCFSサーバIP> port 30181 proto tcp
sudo ufw allow from <運用管理端末IP> to <CMSCFSサーバIP> port 22 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 8443 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 22 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 2376 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 2379 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 2380 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 4789 proto udp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 6443 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 8472 proto udp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 9099 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 10250 proto tcp
sudo ufw allow from <BRサーバIP> to <CMSCFSサーバIP> port 10254 proto tcp
sudo ufw allow from 10.43.0.0/16 to 10.43.0.0/16
sudo ufw allow from 10.42.0.0/16 to 10.42.0.0/16
sudo ufw allow from 10.42.0.0/16 to 10.43.0.0/16
sudo ufw allow from 10.43.0.0/16 to 10.42.0.0/16
  • Browser(BR)サーバの場合
sudo ufw allow from <運用管理端末IP> to <BRサーバIP> port 22 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 8443 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 22 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 2376 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 2379 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 2380 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 4789 proto udp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 6443 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 8472 proto udp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 9099 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 10250 proto tcp
sudo ufw allow from <CMSCFSサーバIP> to <BRサーバIP> port 10254 proto tcp
sudo ufw allow from 10.43.0.0/16 to 10.43.0.0/16
sudo ufw allow from 10.42.0.0/16 to 10.42.0.0/16
sudo ufw allow from 10.42.0.0/16 to 10.43.0.0/16
sudo ufw allow from 10.43.0.0/16 to 10.42.0.0/16

2: IPv6を無効化している場合には、以下のコマンドでUFW機能のIPv6サポートを無効化します。

$ sudo sed -i 's/^IPV6=.*/IPV6=no/' /etc/default/ufw

3:各サーバでUFWを有効化します。

$ sudo ufw enable

4:各サーバでUFWルールが正しく登録されていることを確認します。

$ sudo ufw status verbose

5:以下のコンドでShield再起動を行います。

$ ~/ericomshield/shield-stop.sh –f
$ ~/ericomshield/shield-start.sh

6:UFWが有効な状態でEricom Shieldが正常に動作することを確認してください。

動作確認ポイントは以下となります。

  • 以下コマンドでEricom Shieldの各サービスが全てActiveステータスとなること。

    $ ~/ericomshield/shield-status.sh

    ⇒ 「All workloads are Active !」

    • 運用管理端末からRancher管理コンソール(8443)にブラウザでログイン可能であること。
    • 運用管理端末からEricom Shield管理コンソール(30181)にブラウザでログイン可能であること。
    • 下位NW機器やエンドユーザ端末経由でEricom Shieldの分離ブラウザや非分離(検査やSSLインスペクション無し許可)で正常にブラウザアクセスが可能であること。
    • 下位NW機器やエンドユーザ端末経由でEricom Shieldの分離ブラウザや非分離(検査やSSLインスペクション無し許可)でファイルダウンロードが可能であること。

  • UFW関連コマンド(参考)

$ sudo ufw status               ファイアウォールルールを表示
$ sudo ufw status verbose       ファイアウォールルールの表示(詳細)
$ sudo ufw enable               UFWを有効化
$ sudo ufw disable              UFWを無効化
$ sudo ufw reload               UFWのリロード
$ sudo ufw reset                UFWの設定リセット