Deep Security Agent 10.1以前がLinuxにインストールされた場合、ファイアウォールの競合を避けるためにiptablesサービスが無効化されましたが、変更を防ぐ設定ファイルを追加しない限り無効化されました。しかし、iptablesサービスはファイアウォール以外にも使用されます
(例えば、Dockerは通常の操作の一環としてiptablesルールを管理します)、そのため無効化すると悪影響が生じることがありました。
Deep Security 10.2以降 (Deep Security 11を含む) では、iptablesに関する機能が変更されました。Deep Security
Agentはiptablesを無効にしなくなりました。(iptablesが有効になっている場合、エージェントのインストール後も有効のままです。iptablesが無効になっている場合も、無効のままです。)
ただし、iptablesサービスが実行されている場合、Deep Security AgentとDeep Security Managerには以下に記載されている特定のiptablesルールが必要です。
Deep Security Managerで必要なルール
Deep Security Managerをインストールしているコンピュータでiptablesが有効になっている場合、2つの必須iptablesルールがあります。デフォルトでは、Deep
Security Managerが起動するとこれらのルールが追加され、マネージャが停止またはアンインストールされると削除されます。あるいは、Deep Securityがiptablesルールを自動的に追加するのを防止し、手動で追加することもできます。
-
ポート4119での受信トラフィックを許可してください。これはDeep Security ManagerのWeb UIおよびAPIへのアクセスに必要です。
-
ポート4120での受信トラフィックを許可します。これはエージェントのハートビートをリッスンするために必要です。(詳細については、エージェント-マネージャ通信を参照してください。)
![]() |
注意これらはデフォルトのポート番号です。お使いの環境では異なる場合があります。Deep Securityで使用されるポートの完全なリストについては、ポート番号を参照してください。
|
Deep Security Agentに必要なルール
Deep Security Agentをインストールするコンピュータでiptablesが有効になっている場合、iptablesに追加のルールが必要になることがあります。デフォルトでは、Deep
Security Agentが起動するとこれらのルールが追加され、エージェントが停止またはアンインストールされると削除されます。あるいは、Deep Securityがiptablesルールを自動的に追加しないようにすることもでき、その代わりに手動で追加することもできます。
-
ポート4118での受信トラフィックを許可します。これは、エージェントがマネージャ開始または双方向通信を使用する場合に必要です。(詳細については、エージェント-マネージャ通信を参照してください。)
-
ポート4122での受信トラフィックを許可します。これはエージェントがRelayとして動作している場合に必要であり、Relayがソフトウェアアップデートを配布できるようにするためです。(詳細については、Relayを使用してセキュリティおよびソフトウェアアップデートを配布するを参照してください。)
![]() |
注意これらはデフォルトのポート番号です。お使いの環境では異なる場合があります。Deep Securityで使用されるポートの完全なリストについては、ポート番号を参照してください。
|
Deep Securityが自動的にiptablesルールを追加するのを防ぐ
Deep Security ManagerとDeep Security Agentがiptablesを変更しないようにするには、必要なルールを手動で追加してください。iptablesの自動変更を防ぐには、Deep
Security ManagerとDeep Security Agentをインストールする予定のコンピュータに次のファイルを作成します:
/etc/do_not_open_ports_on_iptables