Hatena::ブログ(Diary)

ソフト開発お仕事メモ このページをアンテナに追加 RSSフィード

2015-01-02

[クラウド]CoreOSにファイアウォールを設定する CoreOSにファイアウォールを設定するを含むブックマーク CoreOSにファイアウォールを設定するのブックマークコメント

はじめに

 CoreOS使用時にファイアウォールを設定する方法について、日本語の情報を発見できなかったため、メモ。

 CoreOS、「Using CoreOS」の「Securing CoreOS」に以下のように書いてあります。

The recommended way to secure your entire cluster is to use a physical firewall, EC2 Security Groups or a similar feature to restrict all traffic unless allowed.

 先ほど引用した部分に関連する思想のせいか、デフォルトではファイアウォールが起動していないっぽいという…。 

環境

ファイアウォールの設定方法

 以下にSSHローカルホストからの通信のみを許可する場合の、/usr/share/oem/cloud-config.yml の例を示します。
 さくらのクラウドで起動した場合のデフォルトのcloud-config.yml にファイアウォールの設定を追記しました。
 IPアドレスパスワードの部分は伏せてあります。

#cloud-config

coreos:
  units:
    -
      command: restart
      name: coreos-setup-environment.service
    -
      command: restart
      name: systemd-networkd.service
    -
      name: iptables.service
      command: start
      content: |
        [Unit]
        Description=iptables
        Author=Me
        After=systemd-networkd.service

        [Service]
        Type=oneshot
        ExecStart=/usr/sbin/iptables-restore /etc/iptables.rules
        ExecReload=/usr/sbin/iptables-restore /etc/iptables.rules
        ExecStop=/usr/sbin/iptables-restore /etc/iptables.rules

        [Install]
        WantedBy=multi-user.target
    -
      command: start
      content: "[Unit]\nDescription=timezone\n[Service]\nType=oneshot\nRemainAfterExit=yes\nExecStart=/usr/bin/ln -sf ../usr/share/zoneinfo/Japan /etc/localtime\n"
      name: timezone.service

hostname: core01

users:
  -
    name: core
    passwd: hogehoge

write_files:
  -
    content: "[Match]\nName=e*\n\n[Network]\nAddress=xxx.xxx.xxx.xxx/24\nGateway=xxx.xxx.xxx.x\nDNS=xxx.xxx.xxx.xxx\nDNS=xxx.xxx.xxx.xxx\n"
    path: /etc/systemd/network/10-static.network
  -
    path: /etc/iptables.rules
    permissions: 0644
    content: |
      *filter
      :INPUT DROP [0:0]
      :FORWARD ACCEPT [0:0]
      :OUTPUT ACCEPT [0:0]
      -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
      -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
      -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
      -A INPUT -i lo -j ACCEPT
      -A INPUT -p icmp -j ACCEPT
      -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
      -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
      -P INPUT DROP
      -P OUTPUT ACCEPT
      COMMIT

参考

以下のサイトを参考にさせていただきました。

さいごに

 これが一番エレガントなのかはわからないのですが、私が理解している範囲ではCoreOSらしい設定方法のはず……。

コメントを書く
トラックバック - http://d.hatena.ne.jp/sekom/20150102/p1
日記の検索

最新タイトル
カテゴリー
最近のコメント
最近のトラックバック
プロフィール

sekom はてなダイアリープラス利用中

関東でソフトウェア開発のお仕事をしています。

最近言及したキーワード
言及ISBN/ASIN
カレンダー
<< 2015/01 >>
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31