IPFire でネットワークを保護する

11/26 2021
目次
  1. インストール
  2. 初期設定
  3. 結論
クラウド ファイアウォールの代表的なイメージ
(画像: © Pixabay)

専用のファイアウォール(新しいタブで開きます) がインターネットの間に立ち、内部ネットワークに流入するトラフィックを無害化します。ファイアウォールのセットアップは、ファイアウォールを実行するためのハードウェアの組み立てと、ファイアウォールを動作させるソフトウェアの構成の両方の点で複雑なプロセスです。ただし、専用ファイアウォールを簡単にセットアップできるLinux ファイアウォール ディストリビューション(新しいタブで開きます)が多数あります。

最も古く、最も人気があり、包括的なファイアウォール プロジェクトの 1 つは、IPFire (新しいタブで開きます)です。このディストリビューションは、ネットワーク アドレス変換 (NAT)、パケット フィルタリング、およびパケットマングリングを容易にする netfilter ユーティリティの上に構築されたステートフル パケット インスペクション (SPI) ファイアウォールを使用します。 

ポートの転送から DMZ の作成まで、あらゆる用途に使用できます。このディストリビューションのカーネルは、ゼロデイエクスプロイトを阻止するために grsecurity パッチセットで強化されており、厳格なアクセス制御が付いています。

IPFire のシステム要件は非常に控えめです。実際、ディストリビューションを使用することは、ハードウェアが最新のオペレーティング システムの厳しい要件に対応できていない古いコンピューターをアップサイクルする最良の方法の 1 つです。IPFire には、1GB のRAM (新しいタブで開きます)、2 つのネットワーク インターフェイス、および 4GB のハードディスク(新しいタブで開きます)スペースを備えたシングル コア プロセッサが十分です。ハードディスクが大きいほど、IPFire のインストールをより手際よく行うことができます。

最初のネットワーク アダプターを、インターネット サービス プロバイダー ( ISP (新しいタブで開きます) ) からのルートr (新しいタブで開きます) /modemに接続します。2 番目のスイッチを、ネットワーク内のすべてのコンピュータにサービスを提供するネットワーク スイッチ(新しいタブで開きます)に接続します。IPFire をセットアップしたら、ネットワーク内のすべてのデバイスがこのスイッチに接続されていることを確認します。これにより、IPFire を介してネットワーク内のコンピュータに IP アドレスが割り当てられます。

インストール

ファイアウォール コンピュータを組み立てたら、IPFire インストール メディア(新しいタブで開きます)から起動します。ファイアウォール ディストリビューションは最初から作成されており、インストール プロセスは簡単です。 

デフォルトのオプションを使用してファイアウォールの直感的なインストール プロセスを実行すると、IPFire がコンピュータ上の唯一のディストリビューションとしてインストールされます。インストール後にマシンを再起動すると、root ユーザーと管理ユーザーの一連のパスワードの入力を求められます。 

ここで、ファイアウォール サーバーでネットワーク アダプターの役割を構成する必要がある重要な部分が来ます。IPFire はいくつかの異なるモードをサポートしています。Green + Red と呼ばれるデフォルト モードは、2 つのネットワーク アダプタを備えたマシン向けに設計されています。

[ネットワーク構成タイプ]オプションでこのモードを選択したら、[ドライバーとカードの割り当て]オプションを選択して、NIC をいずれかのモードに割り当てます。 

この画面では、ISP のルーター(新しいタブで開きます)に接続されているアダプターを赤色のインターフェイスとしてマークし、スイッチに接続されているアダプターを緑色のインターフェイスとしてマークする必要があります。NIC は MAC アドレスによって識別できます。

次に、 [アドレス設定]オプションまで下にスクロールし、緑色のインターフェイスを設定します。これに、ネットマスク 255.255.255.0 の IP アドレスとして 10.0.0.1 を割り当てます。Red インターフェイスの場合は、DHCP オプションを選択し、残りのパラメータはデフォルト値のままにします。

ネットワーク設定が完了すると、IPFire のセットアップ ウィザードは、スイッチを介してファイアウォールに接続されるネットワーク内のすべてのコンピュータにアドレスを配布する DHCP サーバーを構成するオプションを表示します。 

DHCP サーバーをアクティブにし、[開始アドレス] フィールドに 10.0.0.10 を入力し、[終了アドレス] フィールドに 10.0.0.30 を入力します。これにより、ファイアウォール サーバーに、これら 2 つの値の間のアドレスをファイアウォール サーバーに接続されているマシンに配布するように指示されます。ネットワーク内のコンピュータの数に応じて、この数をカスタマイズできます。

それでおしまい。設定を保存し、IPFire が起動してログイン プロンプトが表示されるようにします。

初期設定

次に、スイッチに接続されている内部ネットワーク上の他のマシンからhttps://10.0.0.1:444にアクセスすると、IPFire の Web ベースの管理パネルが表示されます。ユーザーとして admin を使用し、IPFire の設定時に以前に割り当てたパスワードを使用します。

管理インターフェイスはシンプルでナビゲートしやすいレイアウトになっており、ファイアウォール サーバーのさまざまな側面がページ上部のタブにグループ化されています。これは論理的に配置され、明確にマークされているため、ファイアウォールのさまざまな側面やさまざまなコンポーネントのセットアップ プロセスが大幅に簡素化されます。

このインターフェイスはシンプルでナビゲートしやすいレイアウトになっており、ファイアウォール サーバーのさまざまな側面がページ上部のタブにグループ化されています。 

[システム]タブには、インストール全体に影響を与えるオプションが含まれています。ここには、SSH アクセスを有効にし、ログ ファイルの有無にかかわらずインストールのバックアップISO イメージを作成する(新しいタブで開きます)オプションがあります。GUI 設定オプションを使用すると、IPFire 管理コンソールのテーマやその他の側面をカスタマイズできます。 

次に、ファイアウォールのさまざまなコンポーネントの概要を示す[ステータス]タブがあります。ここにアクセスすると、サーバー上の CPU とメモリの使用状況に関する情報を取得できます。このメニューには、サーバーおよびOpenVPN (新しいタブで開きます)ゲートウェイを通過するインターネット トラフィックの帯域幅を監視するオプションも含まれています。

もう 1 つの汎用タブは [サービス] タブで、ファイアウォール以外の個々のサービスを有効にして構成できます。ダイナミック DNS と侵入検知のオプションは、このメニューで利用可能なさまざまなオプションを使用して簡単に設定できます。 

インストール直後は、すでに完全に機能するファイアウォールが構築されています。これは、IPFire がいくつかの適切なデフォルトをそのまま実装しているためです。これは、要件に応じて IPFire を構築およびカスタマイズするための良い出発点となります。

結論

IPFire は、URL フィルター、キャッシュ ネーム サーバー、更新アクセラレータなどとして使用できます。これには Squid が含まれており、簡単に Web プロキシとして使用でき、IPsec と OpenVPN の両方を備えたVPN (新しいタブで開きます)サーバーを作成するために使用することもできます。ファイアウォール機能に加えて、IPFire を使用して、Snort と Guardian と呼ばれるアドオンを組み合わせて侵入を検出および防止することもできます。

IPFire には、基本的なインストールを非常に簡単に具体化できる広範なパッケージ管理ユーティリティである Pakfire が同梱されています。ClamAVアンチウイルス(新しいタブで開きます)スキャナー、Bacula バックアップ、miniDLNAストリーミング サーバー(新しいタブで開きます)などの便利なアドオンがいくつかあります。Pakfire パッケージ マネージャーを使用して、ディストリビューション自体に利用可能なアップデートを確認してインストールすることもできます。

IPFire は、形式と機能の間の綱渡りをなんとかやっています。親しみやすい管理インターフェイスを備え、機能に不足がなく、アドオンで拡張でき、ユーザーの活気に満ちたコミュニティ(新しいタブで開きます)と豊富なドキュメント(新しいタブで開きます)があるため、理想的な選択肢となります。幅広いユーザー向け。