Deep Security Agent 10.1以前がLinuxにインストールされた場合、ファイアウォールの競合を避けるためにiptablesサービスが無効化されましたが、変更を防ぐ設定ファイルを追加しない限り無効化されました。しかし、iptablesサービスはファイアウォール以外にも使用されます (例えば、Dockerは通常の操作の一環としてiptablesルールを管理します)、そのため無効化すると悪影響が生じることがありました。
Deep Security 10.2以降 (Deep Security 11を含む) では、iptablesに関する機能が変更されました。Deep Security Agentはiptablesを無効にしなくなりました。(iptablesが有効になっている場合、エージェントのインストール後も有効のままです。iptablesが無効になっている場合も、無効のままです。) ただし、iptablesサービスが実行されている場合、Deep Security AgentとDeep Security Managerには以下に記載されている特定のiptablesルールが必要です。

Deep Security Managerで必要なルール

Deep Security Managerをインストールしているコンピュータでiptablesが有効になっている場合、2つの必須iptablesルールがあります。デフォルトでは、Deep Security Managerが起動するとこれらのルールが追加され、マネージャが停止またはアンインストールされると削除されます。あるいは、Deep Securityがiptablesルールを自動的に追加するのを防止し、手動で追加することもできます。
  • ポート4119での受信トラフィックを許可してください。これはDeep Security ManagerのWeb UIおよびAPIへのアクセスに必要です。
  • ポート4120での受信トラフィックを許可します。これはエージェントのハートビートをリッスンするために必要です。(詳細については、エージェント-マネージャ通信を参照してください。)
注意
注意
これらはデフォルトのポート番号です。お使いの環境では異なる場合があります。Deep Securityで使用されるポートの完全なリストについては、ポート番号を参照してください。

Deep Security Agentに必要なルール

Deep Security Agentをインストールするコンピュータでiptablesが有効になっている場合、iptablesに追加のルールが必要になることがあります。デフォルトでは、Deep Security Agentが起動するとこれらのルールが追加され、エージェントが停止またはアンインストールされると削除されます。あるいは、Deep Securityがiptablesルールを自動的に追加しないようにすることもでき、その代わりに手動で追加することもできます。
注意
注意
これらはデフォルトのポート番号です。お使いの環境では異なる場合があります。Deep Securityで使用されるポートの完全なリストについては、ポート番号を参照してください。

Deep Securityが自動的にiptablesルールを追加するのを防ぐ

Deep Security ManagerとDeep Security Agentがiptablesを変更しないようにするには、必要なルールを手動で追加してください。iptablesの自動変更を防ぐには、Deep Security ManagerとDeep Security Agentをインストールする予定のコンピュータに次のファイルを作成します:
/etc/do_not_open_ports_on_iptables