1 2 1 iptables1 RHFirewall1 INPUT filter filter
1 -2 -1. iptables設定(1) • まずはチェーン定義 • 「RH-Firewall-1 -INPUT」はユーザ定義 • 「*filter」はフィルタテーブルを使用する定義 *filter : INPUT ACCEPT [0: 0] : FORWARD ACCEPT [0: 0] : OUTPUT ACCEPT [0: 0] : RH-Firewall-1 -INPUT - [0: 0]
1 -2 -2. iptables設定(2) • INPUT、FORWARDにユーザ定義「 RH-Firewall-1 -INPUT 」を設定 -A INPUT -j RH-Firewall-1 -INPUT -A FORWARD -j RH-Firewall-1 -INPUT • 「lo」はループバック。つまり、自分自身への通信を指す -A RH-Firewall-1 -INPUT -i lo -j ACCEPT • ICMP(通信エラー時にメッセージを送るプロトコル)を許可 -A RH-Firewall-1 -INPUT -p icmp --icmp-type any -j ACCEPT • パケット改ざんされていないかをチェックするプロトコルを許可 -A RH-Firewall-1 -INPUT -p 50 -j ACCEPT -A RH-Firewall-1 -INPUT -p 51 -j ACCEPT
1 -2 -3. iptables設定(3) • マルチキャストDNSを許可 -A RH-Firewall-1 -INPUT -p udp --dport 5353 -d 224. 0. 0. 251 -j ACCEPT • 印刷データの送受信のためのプロトコルを許可 -A RH-Firewall-1 -INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1 -INPUT -p tcp -m tcp --dport 631 -j ACCEPT • 【重要】この行が無いと通信できなくなります。 -A RH-Firewall-1 -INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT • ここまででついてこれなくなっている人がいそうですが・・・・。 • もう少しなのでがんばりましょう。
1 -2 -4. iptables設定(4) • SSHポートを有効 • XXXXX部分はデフォルトだと「22」、変更した場合はそのポート番号 -A RH-Firewall-1 -INPUT -m state --state NEW -m tcp -p tcp --dport XXXXX -j ACCEPT →「-A」は追加 • HTTPポートを有効 -A RH-Firewall-1 -INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT • それ以外は全てブロックするように設定 -A RH-Firewall-1 -INPUT -j REJECT --reject-with icmp-host-prohibited • 最後にコミット COMMIT 【参考】 http: //blog. serverkurabe. com/sakuravps-start-10
- Slides: 16