罪と罰++二律背反

パケットフィルタリング設定例 の変更点

http://aqure.sakura.ne.jp/wiki/index.php?%A5%D1%A5%B1%A5%C3%A5%C8%A5%D5%A5%A3%A5%EB%A5%BF%A5%EA%A5%F3%A5%B0%C0%DF%C4%EA%CE%E3

[ トップ ]   [ 編集 | 差分 | バックアップ | 添付 | リロード ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]   [ リンク元 ]

• 追加された行はこの色です。
• 削除された行はこの色です。
• パケットフィルタリング設定例 へ行く。

---

[[パケットフィルタリング]]

 # ssh
 /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 # telnet
 /sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT
 # dns
 /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
 # www
 /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 # ssl
 /sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
 # webmin
 /sbin/iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
 # DROP
 /sbin/iptables -P INPUT DROP

設定を確認する
 /sbin/iptables -L

保存する
 /etc/init.d/iptables save

以前の設定
 #!/bin/sh
 IPTABLES='/sbin/iptables'
 MY_IP='172.16.101.1'
 
 ${IPTABLES} -F 
 ${IPTABLES} -P INPUT DROP
 ${IPTABLES} -P OUTPUT ACCEPT
 ${IPTABLES} -P FORWORD ACEPPT
 
 ${IPTABLES} -N tcp_block 
 ${IPTABLES} -N udp_block 
 ${IPTABLES} -N icmp_block 
 
 # tcp rule
 ${IPTABLES} -A tcp_block -p tcp -d ${MY_IP} -s ${MY_IP} -j ACCEPT
 # すでにconnectionを張っているもの、それに付属するものを許可しています
 ${IPTABLES} -A tcp_block -p tcp -m state --state ESTABLISHED,RELATED -d ${MY_IP} -j ACCEPT

 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport ftp 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport ftp 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport ssh 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport smtp 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport domain 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport www 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport pop3 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport auth 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport 137:139 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport ldap 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport https 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport 901 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport 3128 
 ${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --dport 10000 
 
 # udp rule
 # ${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport domain -j DROP
 # ${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport 137:139 -j DROP
 ${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport sunrpc -j DROP
 ${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport snmp -j DROP
 ${IPTABLES} -A udp_block -p udp -j ACCEPT
 
 # icmp rule
 ${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-type redirect -j DROP
 ${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-type address-mask-request -j DROP
 ${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-type router-advertisement -j DROP
 ${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-type router-solicitation -j DROP
 ${IPTABLES} -A icmp_block -p icmp -j ACCEPT
 #----- End of INPUT rule section -----
 
 #----- OUTPUT rules -----
 # ${IPTABLES} -A OUTPUT -o eth0 -p udp --dport 137:139 -j DROP
 #----- End of OUTPUT rule section -----
 
 #packets make jumping to right chain.
 # 自分で定義したchainへパケットをとばします
 ${IPTABLES} -A INPUT -p TCP -j tcp_block
 ${IPTABLES} -A INPUT -p UDP -j udp_block
 ${IPTABLES} -A INPUT -p ICMP -j icmp_block

       

Site admin: aqure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.2.17. HTML convert time: 0.005 sec.