iptablesでのDeep Security Agentの使用

Deep Security Agent 10.1以前をLinuxにインストールした場合は、ファイアウォールの競合を避けるために、初期設定でiptablesサービスが無効になっていました (ただし、この変更を防止する設定ファイルが追加されていた場合は例外です)。iptablesサービスはファイアウォール以外にも使用されているため (たとえば、Dockerは通常動作の一貫としてiptablesルールを管理します)、iptablesを無効にすると、悪影響を及ぼすことがありました。

Deep Security Agent 10.2以降では、iptablesの機能が変更されています。Deep Security Agentによりiptablesが無効化されなくなりました(iptablesが有効な場合は、Agentのインストール後も有効のままです。iptablesが無効な場合は、無効のままです)。ただし、iptablesサービスが実行されている場合、 Deep Security Agentにはiptablesルールが必要です(次の説明を参照)。

Deep Security Agentの実行に必要なルール

Deep Security Agentがインストールされているコンピュータでiptablesが有効な場合は、iptablesルールの追加が必要になる場合があります。初期設定では、Deep Security Agentの起動時にこれらのルールが追加され、Agentを停止またはアンインストールするとこれらのルールが削除されます。または、 Deep Security Agentでiptablesルール が自動的に追加されないように設定し、手動で追加することもできます。

  • ポート4118で受信トラフィックを許可します。このルールは、AgentがManagerからの通信または双方向通信を使用している場合に必要です(詳細については、「AgentとManagerの通信」を参照してください)。
  • ポート4122で受信トラフィックを許可します。このルールは、AgentがRelayとして機能する場合に、ソフトウェアのアップデートを配信できるようにするために必要です(詳細については、「Relayによるセキュリティとソフトウェアのアップデートの配布」を参照してください)。

これらのポート番号は初期設定の番号のため、環境によっては異なるポートが使用されている場合もあります。 Workload Securityで使用されるポートの完全なリストについては、 ポート番号を参照してください。

Deep Security Agentでiptablesルールが自動的に追加されないようにする

必要なルールを手動で追加する場合は、 Deep Security Agentでiptablesを変更できないようにすることができます。iptablesの自動変更を防止するには、 Deep Security Agentをインストールするコンピュータに次のファイルを作成します。

/etc/do_not_open_ports_on_iptables