ファイアウォール設定 【Plesk11】

これはPlesk11の搭載された仮想専用サーバプランでiptablesによるアクセス元制限設定を行う手順です。
※当社既定(Plesk11.0.9)のインターフェイス(パワーユーザビュー)では画面遷移上、手続きが多いことが確認されています。FireWallの設定項目を一度に多くの項目を編集操作される場合は、「サービスプロバイダービュー」に切り替えておくことをお勧めします。
パワーユーザビューからサービスプロバイダービューへ切り替える
また、一部のブラウザでは設定を有効化させようとすると『パーミッション拒否』等エラー画面が表示される場合があります。このようなエラーが表示された場合は設定が有効化されていないため、再度ファイアウォールの編集画面から有効化を行う必要があります。

STEP 1Plesk「サーバ」>「拡張」>「FireWall」

Pleskにadminでログインします。

【パワーユーザビューの場合】

「サーバ」メニュ-を開き「拡張」タブをクリック後、「FireWall」をクリックします。

パワーユーザビュー:FireWall

パワーユーザビュー:FireWall

【サービスプロバイダービューの場合】

サービス管理欄、「拡張」メニューをクリック後、「FireWall」をクリックします。

サービスプロバイダービュー:FireWall

サービスプロバイダービュー:FireWall

STEP 2「ファイアウォール設定の編集」をクリック

当ガイドではFireWallのカタカナ表記をファイアウォールに統一しています。コントロールパネル、Plesk上の表記は「ファイヤウォール」の場合がございます。
「ファイヤウォール設定の編集」ボタンをクリックします。
2-1

ファイアウォールでの設定内容

現状のルール一覧が表示されます。既定では「すべての基本サービスポートがオープン」な状態になっていますがすべてに設定を追加し制限を加えることは通常行いません。
一般的には以下のような項目については確認しておかれることをお勧めいたします。

Plesk 管理インターフェース

tcp/8443,8880ポート。Pleskの管理画面(8443)およびPower Pack導入の方のWeb Presence Builderの利用ポート(8880)についての制限です。通常のビジネス拠点以外にも、スマートフォン等でPleskのモニタリングをおこなう場合はスマートフォンの接続元IPアドレス等も許可されている必要があります。

FTP サーバ

tcp/21ポート。ウェブコンテンツをFTPソフト、ホームページエディタソフトなどでアップロードされる拠点のIPアドレス等は許可されている必要があります。

SSH サーバ

tcp/22ポート。SSHクライアントソフトなどを通じてターミナルログインしたり、SCP等でファイルをアップロードしたりする際に利用するサービスです。SSHアクセス元となる拠点については許可設定をしておく必要があります。SSHはわからないのでアクセスしない、という方は拒否にしておいていただくことも可能です。

SMTP (サブミッションポート)サーバおよびSMTP (メール送信)サーバ

tcp/587およびtcp/25,465ポート。メール送信に関するサービスでメールソフトで接続する可能性のあり拠点やアクセスポイント等は登録する必要があります。

POP(メール取得)サーバおよびIMAP (メール取得)サーバ

tcp/110,995およびtcp/143,993ポート。メール受信に関するサービスでメールソフトで接続する可能性のあり拠点やアクセスポイント等は登録する必要があります。

Plesk VPN

tcp/1194ポート。VPN(Virtual Private Network)の利用がなければ拒否設定でかまいません。

Parallels Customer & Business Manager payment gateways

tcp/12443ポート。こちらはパラレルス社が提供している課金システムを含むサービスですが当社サポートセンターではサポートしておりません。ご利用でない場合は拒否設定でかまいません。

Parallels Single Sign-On

tcp/11443,11444ポート。こちらは上述の課金システムとセットでご利用いただくことが多いサービスということですが、当サポートセンターではサポートをしておりません。Payment gatewayおよびCustomer & Business Manager を利用していない場合は「拒否」で結構です。

Parallels Products Installer

tcp/8447ポート。Pleskの インストーラ用のGUIにアクセス(https://IPもしくはホスト名:8447 に接続する接続元ホストについては 許可しておいてください。

メールパスワード変更サービス

tcp/106ポート。poppasswdに利用。Horde等のウェブメールからのパスワード変更をする場合に使用されます。Horde等を利用していない場合は拒否でもかまいません。アクセス制限をする際は localhost 127.0.0.1については許可いただくようお願いいたします。

PostgreSQL サーバ

tcp/5432ポート。PostgreSQLのデータベースサーバをご利用でない場合は拒否で結構です。外部からPostgreSQLサーバへのアクセスをしたい場合は、アクセス元を限定することをお勧めいたします。

IPv6 Neighbor Discovery

IPv6構成でネットワークを構築している場合にご利用いただけるサービスです。拒否の設定で問題ありません。
※上記以外にもデータベース関連ポート(Mysql、PostgreSQL)や、Windowsとのファイル共有サービスSambaなどについても設定を追加する場合もあります。

STEP 3対象ルール行の編集⇒「OK」

編集対象行をクリックします。
3-1

sshのルール編集例

sshのルール編集例


1.アクション欄で【選択したソースを許可し、それ以外を拒否します】のラジオボタンを選択
2.ソース欄の右の入力欄に接続を許可するIPアドレス、もしくはネットワークを記入
3.【追加】をクリックし左のソースのテキストボックスに
4.2で記載したIPアドレス、もしくはネットワークが追加されるのを確認
5.【OK】をクリック

サービスプロバイダービューの場合STEP4の画面に進みます。

「FireWall」>「ファイアウォール設定の編集」に再アクセス(パワーユーザビューの場合)

パワーユーザビューの場合、一旦サーバメニュー内の「拡張」のトップ画面に戻りますがこれで設定が終了してはいないのでご注意ください。
「Firewall」をクリック後、「ファイアウォール設定の編集」をクリックください。するとSTEP4の画面になります。
3-3

STEP 4有効化ボタンをクリック

以下のような注意書きが上部に表示されます。

注意: ファイアウォール設定の変更内容が、まだシステムに適用されていません。 適用するには、電球画像の[有効化]ボタンをクリックして下さい。

「有効化」をクリックします。
4-1

次の画面では以下のようなメッセージが表示されます。

You are using Parallels Virtuozzo Containers so make sure that firewall is available for your container (iptables module is loaded).ファイアウォールモジュールは、設定を有効化する準備ができました。 システムに設定を適用するために、シェルスクリプトが生成されました。 このスクリプトをプレビューするには、以下の[プレビュー]ボタンをクリックして下さい。

「プレビュー」ボタンを押すと実行される iptablesのコマンドスクリプトが表示されますので、コマンドの実行内容に興味がある方、確認したいという方は確認ください。

「有効化」をクリックするとルールが適用されます。

ブレビュー、有効化のボタン表示

ブレビュー、有効化のボタン表示

※プレビューを押した場合の表示例

※プレビューを押した場合の表示例


有効化をクリック後は以下のような画面になります。
4-4
数秒から数十秒待つと画面が切り替わります。
4-5
現在の設定が有効になりました、という表示が出て、ルールが更新されました。これでファイアウォールの設定変更は有効になります。