MAKIZOU.COM

今回はiptablesの設定を行っちゃいます。

iptablesとはパケットフィルタを行うソフトウェアで、通過するパケットを検査していらないパケットを破棄しちゃいます。
この機能を使うことにより、ファイヤーウォールとして活用することが出来ます。

■現在の設定を確認
※インストール直後は入出力全てのパケットを許可しています。
# iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

■設定にあたっての用語
INPUT：マシン自体に入ってくるパケットに対するチェイン
FORWARD：マシンを経由するパケットに対するチェイン
OUTPUT：ローカルマシンで生成されたパケットに対するチェイン
チェイン：どのタイミングで処理するかを示すという意味
ACCEPT：許可
DROP：破棄

以下より順次設定を行います。

■ポリシーを決める
# iptables -P INPUT ACCEPT
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT

■ルールをクリア
# iptables -F

■icmp(ping)と自端末からの入力を許可
# iptables -A INPUT -p icmp -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT

■FTP(21),ssh(22),smtp(25),DNS(53),Web(80),POP(110),ssl(443),webmin(10000) による接続を許可
# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
# iptables -A INPUT -p udp --dport 53 -j ACCEPT
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
# iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# iptables -A INPUT -p tcp --dport 10000 -j ACCEPT

■TCPの接続開始と応答、FTPデータなどを許可
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

■他の接続はすべて破棄
# iptables -P INPUT DROP

■設定をセーブ
※セーブしないとサーバを再起動してしまうと消えてしまいます
# /etc/init.d/iptables save

ファイアウォールのルールを /etc/sysconfig/iptables に保存中:                [  OK  ]

■iptables を再起動
# /etc/init.d/iptables restart

ファイアウォールルールを適用中:                               [  OK  ]

チェインポリシーを ACCEPT に設定中mangle filter nat           [  OK  ]

iptables ファイアウォールルールを適用中:                      [  OK  ]