【Raspberry Pi】ufwでファイアウォールの設定

【Raspberry Pi】ufwでファイアウォールの設定
【Raspberry Pi】ufwでファイアウォールの設定

Raspberry Piにufwというファイアウォールを入れてみました。この記事は、そのときに行ったufwの基本的な設定方法を解説いたします。

  1. つかうもの
    1. Raspberry Pi
    1. ルーターのポート開放
  2. Raspberry Piにファイアーウォールを設定する(ufw)
    1. ufwのインストール
    1. 最初にすべてのポートを拒否しておく
    1. SSHを許可する
    1. IPv6を除外する
    1. ファイアウォールを起動させる
    1. ファイアウォールの状態を確認する
  3. Raspberry Piでポートを使用しているプロセスを調べる(nmap)
  4. 外部ネットワークからポートの開放を確認する(macOS/nmap)

つかうもの

Raspberry Pi

今回は自宅で持て余していたRaspberry Pi 3 Model Bを使用しました。アクセスの少ないWebサーバーなどでの用途でしたら、Raspberry Pi 3でもスペック的には充分です。

Raspberry Pi 3 MODEL B
Raspberry Pi 3 MODEL B
Amazonで見る楽天市場で見る

ただし、ffmpegなどの動画エンコーダーを動かす場合は、Raspberry Pi 3はおすすめできません。ハードウェアエンコーダーを使ってもCPU100%超えとなってしまいました。Raspberry Pi 4などのスペックの高いボードを使いましょう。

Raspberry Pi 4 Model B 8GB
Raspberry Pi 4 Model B 8GB
Amazonで見る楽天市場で見る

ルーターのポート開放

自宅以外の外部ネットワークからRaspberry Piにアクセスするためにはファイアウォール以前に、ルーターのポート開放が必要になります。ただし、ルーターによってポートの開放のやり方は異なりますので、設定のやり方はこの記事では割愛します。 ルーターのポート開放の詳しくは「ポートフォワーディング」や「ポートマッピング」で調べてみてください。

ちなみに私はNECのAtermルーターを10年以上愛用してます。ポート開放も行うことができ、自鯖の設置にはおすすめなルーターです。 ▼ こちらのルーターは実際に実家で使用しているものです。2階でもWiFi受信できるようになりました。

NEC Aterm WG1200HS3 PA-WG1200HS3
NEC Aterm WG1200HS3 PA-WG1200HS3
Amazonで見る楽天市場で見る

Raspberry Piにファイアーウォールを設定する(ufw)

今回Raspberry Piに使用するファイアウォールは、ufw(Uncomplicated Firewall)というものです。ufwでは、簡単なコマンドでファイアーウォールの管理を行うことができます。内部にはiptablesを使用しているようです。 ufwの設定方法は こちらの記事 を参考にさせていただきました。

それではufwを設定していきましょう。

ufwのインストール

まずは、Raspberry Piにufwをインストールします。

sh
$ sudo apt install ufw

最初にすべてのポートを拒否しておく

次のようにして、すべてのポートをあらかじめ拒否します。

sh
$ sudo ufw default deny

このとき、絶対にufwを起動させないでください。SSHでアクセスできなくなってしまいます。 ローカルエリア内にいようがいまいが、こうなってしまったらRaspberry Piを再インストールするか、モニタとキーボードを直接つないでファイアウォールの設定をいじるしかありません。くれぐれもご注意ください。

SSHを許可する

sh
$ sudo ufw allow 22

これでufwを起動してもSSHだけは繋がるようになりました。

IPv6を除外する

IPv6は使用しないので、設定ファイルの内容を変更します。

sh
$ sudo vi /etc/default/ufw
...
IPV6=no
...

ファイアウォールを起動させる

ufwのサービスを起動させてファイアウォールを有効にしましょう。

sh
$ sudo ufw enable

実行すると次のように聞かれますが、SSHで使用するポートは開放しましたので「y」を入力してリターンします。

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y

これでファイアウォールが有効になりました。

Firewall is active and enabled on system startup

ファイアウォールの状態を確認する

次のようにしてファイアウォールの状態を確認できます。

sh
$ sudo ufw status
To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere

Raspberry Piでポートを使用しているプロセスを調べる(nmap)

ポートが開いていてもサーバープロセスが起動していなければアクセスできません。ネットワークトラブルのときに役立つ、nmapをインストールしておきましょう。

sh
$ sudo apt install nmap

次のようにして、nmapでポートを使用しているプロセスを調べられます。

sh
$ sudo nmap localhost
Starting Nmap 7.80 ( https://nmap.org ) at 2022-01-05 21:19 JST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000058s latency).
Other addresses for localhost (not scanned): ::1
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 0.44 seconds

外部ネットワークからポートの開放を確認する(macOS/nmap)

それでは、外部ネットワークから自鯖のポートが開放されているかチェックしてみましょう。macOSを使用しました。こちらもnmapを使います。

brewでnmapをインストールしましょう。

sh
$ brew install nmap

次のようにして、nmapでTCPポートの開放の確認ができます。コマンドの実行は必ずスーパーユーザーで行ってください。

sh
$ sudo nmap -sT -p ポート IPアドレス(またはホスト名)

オプションを-sUにすればUDPの確認ができます。

関連記事

アイデアノート > IoTのワイヤレス通信
最後までご覧いただきありがとうございます!

▼ 記事に関するご質問やお仕事のご相談は以下よりお願いいたします。
お問い合わせフォーム

ESP32搭載ボード

ESP-WROOM-32D (DevKitC) Espressif社純正
ESP-WROOM-32D (DevKitC) Espressif社純正
Amazonで見る楽天市場で見る
ESP-WROOM-32 技適取得済み 2個入り WayinTop
ESP-WROOM-32 技適取得済み 2個入り WayinTop
Amazonで見る楽天市場で見る
ESPr Developer 32
ESPr Developer 32
Amazonで見る楽天市場で見る
M5Stack M5StickC Plus
M5Stack M5StickC Plus
Amazonで見る楽天市場で見る
M5Stack Core2 開発キットデュアルコア
M5Stack Core2 開発キットデュアルコア
Amazonで見る楽天市場で見る

ESP32の書籍

ESP32&Arduino 電子工作 プログラミング入門
ESP32&Arduino 電子工作 プログラミング入門
Amazonで見るKindleで見る楽天市場で見る
IoT開発スタートブック ESP32でクラウドにつなげる電子工作をはじめよう!
IoT開発スタートブック ESP32でクラウドにつなげる電子工作をはじめよう!
Amazonで見るKindleで見る楽天市場で見る
ESPマイコン・プログラム全集
ESPマイコン・プログラム全集
Amazonで見る楽天市場で見る
みんなのM5Stack入門
みんなのM5Stack入門
Amazonで見るKindleで見る楽天市場で見る

Arduinoで人気の周辺パーツ

リレーモジュール 8チャンネル SainSmart
リレーモジュール 8チャンネル SainSmart
Amazonで見る楽天市場で見る
TTP223 静電容量式 タッチセンサー
TTP223 静電容量式 タッチセンサー
Amazonで見る楽天市場で見る
OLED 0.91インチディスプレイ I2C DSD TECH
OLED 0.91インチディスプレイ I2C DSD TECH
Amazonで見る楽天市場で見る
センサーキット20モジュール OSOYOO
センサーキット20モジュール OSOYOO
Amazonで見る楽天市場で見る

M5Stackのオススメ参考書

みんなのM5Stack入門
みんなのM5Stack入門
Amazonで見るKindleで見る楽天市場で見る
「M5Stack」ではじめる電子工作
「M5Stack」ではじめる電子工作
Amazonで見る楽天市場で見る
M5Stack & M5StickCではじめるIoT入門
M5Stack & M5StickCではじめるIoT入門
Amazonで見るKindleで見る楽天市場で見る
ESP32&Arduino 電子工作 プログラミング入門
ESP32&Arduino 電子工作 プログラミング入門
Amazonで見るKindleで見る楽天市場で見る

M5Stack製品

M5Stack ATOM Matrix ESP32 Development Kit
M5Stack ATOM Matrix ESP32 Development Kit
Amazonで見る楽天市場で見る
M5Stack Core2 開発キットデュアルコア
M5Stack Core2 開発キットデュアルコア
Amazonで見る楽天市場で見る
M5StickC
M5StickC
Amazonで見る楽天市場で見る
M5Stack ATOM Echo スマートスピーカー開発キット
M5Stack ATOM Echo スマートスピーカー開発キット
Amazonで見る楽天市場で見る

M5StickCで使えるHat

M5StickC ToF Hat(レーザー測距センサ)
M5StickC ToF Hat(レーザー測距センサ)
Amazonで見る
M5StickC Proto Hat (プロトタイピングボード)
M5StickC Proto Hat (プロトタイピングボード)
Amazonで見る楽天市場で見る
M5StickC PIR Hat(人感センサ)
M5StickC PIR Hat(人感センサ)
Amazonで見る
M5StickC Speaker Hat(3WモノラルD級アンプ)
M5StickC Speaker Hat(3WモノラルD級アンプ)
Amazonで見る

ESP32ボード

ESP-WROOM-32D (DevKitC) Espressif社純正
ESP-WROOM-32D (DevKitC) Espressif社純正
Amazonで見る楽天市場で見る
ESP-WROOM-32 技適取得済み 2個入り WayinTop
ESP-WROOM-32 技適取得済み 2個入り WayinTop
Amazonで見る楽天市場で見る
ESPDuino-32 技適取得品 ESP32
ESPDuino-32 技適取得品 ESP32
Amazonで見る楽天市場で見る
ESPr Developer 32
ESPr Developer 32
Amazonで見る楽天市場で見る