バージョン10.1以前のエージェントがLinuxにインストールされている場合は、設定ファイルを追加しない限り、ファイアウォールの競合を回避するためにiptablesサービスが無効になっていました。ただし、iptablesサービスはファイアウォール以外にも使用されるため
(たとえば、Dockerは通常の動作の一部としてiptablesルールを管理します)、このサービスを無効にすると悪影響が生じることがあります。
エージェントバージョン10.2以降では、iptables周辺の機能が変更されています。エージェントはiptablesを無効にしなくなりました。 (iptablesが有効な場合は、
エージェントのインストール後も有効のままです。iptablesが無効の場合は無効のままです。) ただし、iptablesサービスが実行されている場合は、以下で説明するように、
エージェントに特定のiptablesルールが必要です。
エージェントに必要なルール
エージェントをインストールするコンピュータでiptablesが有効になっている場合は、iptablesに追加のルールが必要になることがあります。初期設定では、これらのルールはエージェントの起動時に追加され、
エージェントの停止時またはアンインストール時に削除されます。または、 エージェントがiptablesルールを自動的に追加しないようにする代わりに手動で追加します。
- ポート4118での受信トラフィックを許可します。これは、 エージェントがManagerからの通信または双方向通信を使用する場合に必要です。 (詳細については、AgentとManagerの通信を参照)
- ポート4122での受信トラフィックを許可します。これは、 エージェントがRelayとして動作している場合に、Relayがソフトウェアアップデートを配信できるようにするために必要です。 (詳細については、 Relayを使用したセキュリティアップデートとソフトウェアアップデートの配信.)
 |
注意これらは初期設定のポート番号です。実際のポート番号とは異なる場合があります。 Server & Workload Protectionで使用されるポートの完全なリストについては、を参照してください。ポート番号。
|
エージェントがiptablesルールを自動的に追加しないようにする
必要なルールを手動で追加する場合は、エージェントがiptablesを変更しないようにすることができます。 iptablesが自動的に変更されないようにするには、エージェントをインストールするコンピュータに次のファイルを作成します。
/etc/do_not_open_ports_on_iptables