share facebook facebook twitter menu hatena pocket slack

2015.08.05 WED

【NATにおいての注意】Trend Micro Deep security【iptables】

稲田 一樹

WRITTEN BY 稲田 一樹

どうも、こんばんは、こんにちは。

今回、Deep Securityを導入する方、される方への注意喚起です。

というのは、NATを使用してる或いは、iptablesを使用している環境へ
Deep Security Agentを導入してManagerに登録する際、注意が必要です!
※本件はDeep Security Agentのインストールまでは平気です。

何故なら?

iptableのルーティング設定がぶっ飛ぶ!!

といっても /etc/rc.d/init.d/iptables に記述したルーティング自体はちゃんと保存していれば、設定自体は消えないです。
ただ、とある空ファイルを配置しないと、侵入防御ルールに関連する変更などが行われた際に毎回iptablesのルーティングがぶっ飛ぶ可能性があります。

現時点で確認できたこと ※誤りあったら指摘ください。修正します。。。

  • 侵入防御ルールをオン
  • ファイヤーウォール機能をオン
  • ルールアップデートを実施する。
  • 上記を既にオンにしている場合でも、設定変更等行うと再現するかも?(未検証)

※現時点では憶測ですが、上記に関する変更(アップデート)が行われた場合、iptablesのルーティング設定が飛ぶ可能性があると思われます。

★201507/10現在において資料は以下のように記述してますが、食い違いがあるようなので注意!

 資料:Deep Security 9.5 SP1インストールガイド 基本コンポーネント
 項目:Linuxのiptables
 内容:Deep Security 9.5以降では、インストール中にLinuxのiptablesが無効になりません。
 http://files.trendmicro.com/jp/ucmodule/tmds/95Sp1/Deep_Security_95_SP1_Install_Guide_basic_JP.pdf

【回避方法】

※既にやらかした方は【やらかした場合】を参照!

空ファイル:「/etc/use_dsa_with_iptables」を作成する。

コマンド

# touch /etc/use_dsa_with_iptables
# /etc/rc.d/init.d/iptables restart

さらに詳しい解説は、↓こちら↓ 我が師の記事です!

NATサーバにDSAをインストールする(Deep Security 9.5 / DSaaS)

【やらかした場合】

まずは、念のため、本当にルーティングが吹っ飛んだのか確認。

# service iptables status

吹っ飛んでたら・・・↓のコマンドでiptableの設定を確認。

# cat /etc/sysconfig/iptables

ルーティング設定を保存している場合

①iptablesを再起動してステータスを確認してルーティング設定が読み込まれることを確認。

# service iptables restart
# service iptables status

②該当サーバを経由して外に出るサーバよりcurlを叩きこみ応答があるか確認して、応答があれば復旧!

# curl --dump-header - http://www.w3c.org/

ルーティング設定を保存していない場合・・・

 ⇒iptablesの再設定/(^o^)\ナンテコッタイ

同じ過ちを繰り返さないためにも、【回避方法】の手順で空ファイルを作りましょう。

NATだけに納得の対応を。
なんとなく言ってみただけです。

皆さんごめんなさい。λ….

元記事はこちら

【NATにおいての注意】Trend Micro Deep security【iptables】 – ミジンコ奮闘記(AWSとLinuxがメインかな・・)

稲田 一樹

稲田 一樹

AWSやlinux初心者向けのブログを更新してます。中の人は、美味しいもの好きなので美味いものあったら教えてください!