パスワードを忘れた? アカウント作成
359114 journal

k3cの日記: Vine(52):iptables

日記 by k3c

何を今更、と言われること必定の(汗)iptables設定。
参考資料:このへん

まず、このPCではなぜかipchainsが動いているので、止める。

# chkconfig --level 2345 ipchains off
# reboot

リブート後、iptablesの設定を実施。

# iptables -P INPUT DROP
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

ここまでで、まず、外のWebを見、メールチェックをして、動作確認。
引き続き、

# iptables -P INPUT -p icmp -d xxx.xxx.xxx.xxx -j ACCEPT

PINGを自分に打って動作確認。

# ping xxx.xxx.xxx.xxx
PING xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx) 送信元 xxx.xxx.xxx.xxx : 56(84) bytes of data.
64 バイト応答 送信元 xxx.xxx.xxx.xxx: icmp_seq=0 ttl=64 時間=112 マイクロ秒

次に、sshとhttpdを活かす。

# iptables -P INPUT -p tcp -d xxx.xxx.xxx.xxx --dport ssh -j ACCEPT
# iptables -P INPUT -p tcp -d xxx.xxx.xxx.xxx --dport www -j ACCEPT

設定確認。

# iptables-save -c -t filter
*filter
:INPUT DROP [441:81889]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [184:23618]
[32:2352] -A INPUT -i lo -j ACCEPT
[151:29391] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -d xxx.xxx.xxx.xxx -p icmp -j ACCEPT
[0:0] -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT

設定の保存とサービス再起動。

# iptables-save -c -t filter > /etc/sysconfig/iptables
# service iptables restart
現在のすべてのルールとユーザ定義チェインを初期化中: [ OK ]
現在のすべてのルールとユーザ定義チェインを破棄中: [ OK ]
iptablesファイアウォールルールを適用中:
[ OK ]

終了。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...