カスタム検索

Firewallを設定する

Modified: 13 March 2011
Modified: 23 September 2005
Created: 11 September 2005

ファイヤウオールというと、専用の装置を設置するイメージがありますが、個々のサーバにファイヤウオールを設けて、サーバ自身の保護を行うことができます。

最近のWindowsでもこのようなファイヤウオールの設定が可能になってきています。ここでは、自分のサーバの出入り口にファイヤウオールを設定する実験です。

　iptablesの設定ファイルは、ほかの設定方法とは異なります。スクリプトや手動で設定した後、その設定状態をセーブすることで、次回起動時に同じ設定を再現できます。
したがって、まず設定用のスクリプトを作り、動作確認後、設定ファイルを生成する手順となります。

PassiveFTPを受け付ける方法　（13 March 2011）

現状の設定を確認する方法 （11 September 2005）
起動時に読み込まれる設定ファイルを生成する （11 September 2005）

基本設定のスクリプトを作成 （11 September 2005）
クライアントとしての設定（ネームサーバが使えたり、メールが出せるようにする設定） （23 September 2005）
WEBサーバを公開する設定　（11 September 2005）

現状の設定を確認する方法

以下のコマンドで状態を見ることができます。

# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination #

例外なくすべて受け入れるという設定になっています。つまり、ファイヤウオールになっていません。
ファイヤウオールを無効でインストールした場合、こうなっています。

以下は、「基本設定のスクリプトを作成」を実行した後に実行した内容です。

# iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- websvr websvr ACCEPT icmp -- 192.168.0.75 192.168.0.5 icmp echo-request ACCEPT icmp -- 192.168.0.75 192.168.0.5 icmp echo-reply DROP tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW ACCEPT tcp -- 192.168.0.75 192.168.0.5 tcp dpt:ssh Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- websvr websvr ACCEPT icmp -- 192.168.0.5 192.168.0.75 icmp echo-reply ACCEPT icmp -- 192.168.0.5 192.168.0.75 icmp echo-request ACCEPT tcp -- 192.168.0.5 192.168.0.75 tcp spt:ssh #

起動時に読み込まれる設定ファイルを生成する

作ったスクリプトを実行し、動作確認後、以下のコマンドを実行して設定ファイルを生成します。

# /sbin/iptables-save > /etc/sysconfig/iptables

ここからGOOGLE検索できます

カスタム検索

Tweet