【NATにおいての注意】Trend Micro Deep security【iptables】
どうも、こんばんは、こんにちは。
今回、Deepsecurityを導入する方、される方への注意喚起です。
というのは、NATを使用してる或いは、iptablesを使用している環境へ
DeepSecurityAgentを導入してManagerに登録する際、注意が必要です!
※本件はDeepSecurityAgentのインストールまでは平気です。
何故なら?
iptableのルーティング設定がぶっ飛ぶ!!
といっても/etc/rc.d/init.d/iptablesに記述したルーティング自体はちゃんと保存していれば、設定自体は消えないです。
ただ、とある空ファイルを配置しないと、侵入防御ルールに関連する変更などが行われた際に毎回iptablesのルーティングがぶっ飛ぶ可能性があります。
現時点で確認できたこと※誤りあったら指摘ください。修正します。。。
・侵入防御ルールをオン
・ファイヤーウォール機能をオン
・ルールアップデートを実施する。
・上記を既にオンにしている場合でも、設定変更等行うと再現するかも?(未検証)
※現時点では憶測ですが、上記に関する変更(アップデート)が行われた場合、
iptablesのルーティング設定が飛ぶ可能性があると思われます。
★201507/10現在において資料は以下のように記述してますが、
食い違いがあるようなので注意!
資料:Deep Security 9.5 SP1インストールガイド 基本コンポーネント
項目:Linuxのiptables
内容:Deep Security 9.5以降では、インストール中にLinuxのiptablesが無効になりません。
http://files.trendmicro.com/jp/ucmodule/tmds/95Sp1/Deep_Security_95_SP1_Install_Guide_basic_JP.pdf
【回避方法】
※既にやらかした方は【やらかした場合】を参照!
空ファイル:「/etc/use_dsa_with_iptables」を作成する。
コマンド
# touch /etc/use_dsa_with_iptables
# /etc/rc.d/init.d/iptables restart
さらに詳しい解説は、↓こちら↓ 我が師の記事です!
DeepSecurity - NATサーバにDSAをインストールする(Deep Security 9.5 / DSaaS) - Qiita
【やらかした場合】
まずは、念のため、本当にルーティングが吹っ飛んだのか確認。
#service iptables status
吹っ飛んでたら・・・↓のコマンドでiptableの設定を確認。
#cat /etc/sysconfig/iptables
・ルーティング設定を保存している場合
①iptablesを再起動してステータスを確認してルーティング設定が読み込まれることを確認。
#service iptables restart
#service iptables status
②該当サーバを経由して外に出るサーバよりcurlを叩きこみ応答があるか確認して、応答があれば復旧!
#curl --dump-header - http://www.w3c.org/
・ルーティング設定を保存していない場合・・・
⇒iptablesの再設定/(^o^)\ナンテコッタイ
同じ過ちを繰り返さないためにも、【回避方法】の手順で空ファイルを作りましょう。
natだけに納得の対応を。
なんとなく言ってみただけです。
皆さんごめんなさい。λ....