iptablesでエージェントを使用する

バージョン10.1以前のエージェントをLinuxにインストールすると、設定の変更を妨げる設定ファイルを追加しないかぎり、ファイアウォールの競合を回避するためにiptablesサービスが無効になります。iptablesサービスはファイアウォール以外にも使用されているため (たとえば、Dockerは通常動作の一貫としてiptablesルールを管理します)、iptablesを無効にすると、悪影響を及ぼすことがありました。

エージェントバージョン10.2以降では、iptables周辺の機能が変更されています。エージェントはiptablesを無効にしなくなりました。 iptablesが有効な場合、エージェントのインストール後も有効のままになります。 iptablesが無効の場合、無効のままになります。 iptablesサービスが実行されている場合、エージェントには特定のiptablesルールが必要です。

エージェントに必要なルール

エージェントをインストールするコンピュータでiptablesが有効になっている場合、iptablesで追加のルールが必要になることがあります。初期設定では、これらのルールはエージェントの起動時に追加され、エージェントが停止またはアンインストールされると削除されます。または、 エージェントでiptablesルール が自動的に追加されないようにして、手動で追加することもできます。

• ポート4118での受信トラフィックを許可します。これは、AgentがManagerからの通信または双方向通信を使用する場合に必要です。詳細については、エージェントとマネージャの通信 を参照してください。
• ポート4122での受信トラフィックを許可します。これは、 エージェントがRelayとして動作している場合に、Relayがソフトウェアアップデートを配信できるようにするために必要です。詳細については、Relayを使用したセキュリティアップデートとソフトウェアアップデートの配布 を参照してください。

これらのポート番号は初期設定の番号のため、環境によっては異なるポートが使用されている場合もあります。 Workload Securityで使用されるポートの完全なリストについては、 ポート番号を参照してください。

エージェントによるiptablesルールの自動追加を禁止する

必要なルールを手動で追加する場合は、エージェントがiptablesを変更しないようにすることができます。iptablesが自動的に変更されないようにするには、 エージェントをインストールするコンピュータに次のファイルを作成します。

/etc/do_not_open_ports_on_iptables