カレンダー

2021/07
    
       

広告

Twitter

記事検索

ランダムボタン

さよならIPテーブル

by 唐草 [2021/06/23]



 久々にLinuxのファイアウォールであるIPTablesの設定をした。あまりに久々すぎて、IPTablesで接続制御していたのをすっかり忘れていた。おかげでなぜ接続が遮断されるのか分からなかったし、IPTablesを思い出した後も設定の書き方が分からず四苦八苦した。
 こんな醜態を晒してしまったのには理由がある。ぼくの中でIPTablesは、もう過去のソフトだからだ。
 今のOSには標準でファイアウォールが搭載されている。外部からの侵入を防ぐし、内部からの怪しい通信も検出してくれる。危険があふれるネットを安全に使うために個人PCでもファイアウォールが欠かせない。
 その一方で、サーバでのファイアウォールの存在感は日に日に薄れていっている。昔は、サーバを守るためにIPTablesの設定を必死に書いていた。それも過去の話。IPTablesを使わなくなって久しいし、それどころか他のファイアウォールも使っていない。
 じゃあ、ノーガードで運用しているのか?というとそうではない。セキュリティーへの考え方が変わったのだ。
 ファイアウォールは、ネットワークの門番のようなもの。通していい通信とダメなものの判断を一手に任されている。だから、ファイアウォールの内側で動くソフトはノーガードでも問題ない。そういう考えが広まっていたが、ぼくはこれに同意できなかった。
 ぼくは個々のサービスにそれぞれのネットワーク設定を施している。Webサーバはアクセス制限なしだけど、DDos検知はする。データベースはローカルからのアクセスのみ許可。こんな感じにサービスごとに設定を書いている。これは外に面した門は全開だけど、部屋ごとに小さな門番を置いているような状態だ。
 どこに門番を配するかは意見の分かれるところ。でも、IPTablesが標準ソフトウェアから外されたことを考えると、ファイアウォールに任せるのではなく、サービス自身がセキュリティーを担保するやり方が主流になったのだろう。やはり、ぼくは間違っていなかった。
 と言うわけで、さよならIPTables。