罪と罰++二律背反
パケットフィルタリング設定例
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
] [
リンク元
]
開始行:
[[パケットフィルタリング]]
# ssh
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# telnet
/sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT
# dns
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
# www
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# ssl
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# webmin
/sbin/iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
# DROP
/sbin/iptables -P INPUT DROP
設定を確認する
/sbin/iptables -L
保存する
/etc/init.d/iptables save
以前の設定
#!/bin/sh
IPTABLES='/sbin/iptables'
MY_IP='172.16.101.1'
${IPTABLES} -F
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWORD ACEPPT
${IPTABLES} -N tcp_block
${IPTABLES} -N udp_block
${IPTABLES} -N icmp_block
# tcp rule
${IPTABLES} -A tcp_block -p tcp -d ${MY_IP} -s ${MY_IP} ...
# すでにconnectionを張っているもの、それに付属するものを...
${IPTABLES} -A tcp_block -p tcp -m state --state ESTABLI...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
# udp rule
# ${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport do...
# ${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport 13...
${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport sunr...
${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport snmp...
${IPTABLES} -A udp_block -p udp -j ACCEPT
# icmp rule
${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-typ...
${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-typ...
${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-typ...
${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-typ...
${IPTABLES} -A icmp_block -p icmp -j ACCEPT
#----- End of INPUT rule section -----
#----- OUTPUT rules -----
# ${IPTABLES} -A OUTPUT -o eth0 -p udp --dport 137:139 -...
#----- End of OUTPUT rule section -----
#packets make jumping to right chain.
# 自分で定義したchainへパケットをとばします
${IPTABLES} -A INPUT -p TCP -j tcp_block
${IPTABLES} -A INPUT -p UDP -j udp_block
${IPTABLES} -A INPUT -p ICMP -j icmp_block
終了行:
[[パケットフィルタリング]]
# ssh
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# telnet
/sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT
# dns
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
# www
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# ssl
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# webmin
/sbin/iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
# DROP
/sbin/iptables -P INPUT DROP
設定を確認する
/sbin/iptables -L
保存する
/etc/init.d/iptables save
以前の設定
#!/bin/sh
IPTABLES='/sbin/iptables'
MY_IP='172.16.101.1'
${IPTABLES} -F
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWORD ACEPPT
${IPTABLES} -N tcp_block
${IPTABLES} -N udp_block
${IPTABLES} -N icmp_block
# tcp rule
${IPTABLES} -A tcp_block -p tcp -d ${MY_IP} -s ${MY_IP} ...
# すでにconnectionを張っているもの、それに付属するものを...
${IPTABLES} -A tcp_block -p tcp -m state --state ESTABLI...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
${IPTABLES} -A tcp_block -j ACCEPT -p tcp -d ${MY_IP} --...
# udp rule
# ${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport do...
# ${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport 13...
${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport sunr...
${IPTABLES} -A udp_block -p udp -d ${MY_IP} --dport snmp...
${IPTABLES} -A udp_block -p udp -j ACCEPT
# icmp rule
${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-typ...
${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-typ...
${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-typ...
${IPTABLES} -A icmp_block -p icmp -d ${MY_IP} --icmp-typ...
${IPTABLES} -A icmp_block -p icmp -j ACCEPT
#----- End of INPUT rule section -----
#----- OUTPUT rules -----
# ${IPTABLES} -A OUTPUT -o eth0 -p udp --dport 137:139 -...
#----- End of OUTPUT rule section -----
#packets make jumping to right chain.
# 自分で定義したchainへパケットをとばします
${IPTABLES} -A INPUT -p TCP -j tcp_block
${IPTABLES} -A INPUT -p UDP -j udp_block
${IPTABLES} -A INPUT -p ICMP -j icmp_block
ページ名: