バージョン10.1以前のエージェントをLinuxにインストールすると、設定の変更を妨げる設定ファイルを追加しないかぎり、ファイアウォールの競合を回避するためにiptablesサービスが無効になります。iptablesサービスはファイアウォール以外にも使用されているため
(たとえば、Dockerは通常動作の一貫としてiptablesルールを管理します)、iptablesを無効にすると、悪影響を及ぼすことがありました。
エージェントバージョン10.2以降では、iptables周辺の機能が変更されています。エージェントはiptablesを無効にしなくなりました。 iptablesが有効な場合、エージェントのインストール後も有効のままになります。
iptablesが無効の場合、無効のままになります。 iptablesサービスが実行されている場合、エージェントには特定のiptablesルールが必要です。
エージェントに必要なルール
iptablesがエージェントをインストールしているコンピュータで有効になっている場合、iptablesには追加のルールが必要になることがあります。デフォルトでは、これらのルールはエージェントが起動すると追加され、エージェントが停止またはアンインストールされると削除されます。あるいは、エージェントがiptablesルールを自動的に追加するのを防ぐこともでき、その代わりに手動で追加することもできます。
- ポート4118での受信トラフィックを許可します。これは、エージェントがマネージャ開始または双方向通信を使用する場合に必要です。詳細については、エージェント-マネージャ通信を参照してください。
- ポート4122での受信トラフィックを許可してください。これは、エージェントがRelayとして機能している場合に必要です。Relayがソフトウェアの更新を配布できるようにするためです。詳細については、Relayを使用してセキュリティおよびソフトウェアの更新を配布するを参照してください。
これらはデフォルトのポート番号です。お使いの環境では異なる場合があります。Workload Securityで使用されるポートの完全なリストについては、ポート番号を参照してください。
エージェントによるiptablesルールの自動追加を禁止する
必要なルールを手動で追加する場合は、エージェントがiptablesを変更しないようにすることができます。iptablesが自動的に変更されないようにするには、 エージェントをインストールするコンピュータに次のファイルを作成します。
/etc/do_not_open_ports_on_iptables