iptablesの話_1
こんにちはK川です。
今日は珍しくソフトの設定の話で、iptablesというフィルタの話をざっとします。
サーバーを立てて外部公開するときにしておかなくてはならないもの、それはサーバーが起動しているデーモンと関係のないパケットを無視することです。
RedHatやCentOSはデフォルトでiptablesというソフトが入っており、これは簡単に言うとソフトウェアのルータです。
機能は3種類
1.インバウンドの設定
2.転送の設定
3.アウトバウンドの設定
となります。
このソフトを説明する上で、サーバーを「自分」、サーバーに接続してくるものを「他人」とします。
1.インバウンドの設定
とは、「他人」が送ってくるパケットをどう対応するか、というものを設定します。
2.転送の設定
とは、「他人」が送ってくるパケットを「他のアドレス」に転送する場合、設定します。
3.アウトバウンドの設定
とは、「自分」が送るパケットをどうするのかを、を設定します。
おそらく2、3は個人レベルではまず使用しないと思います。
2はルーターを使えばいいことですし、3は「自分」がウイルスにやられたり、不正にログインされたときに被害を抑えるために設定するので。
そんなわけで、
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
(-P は policy、DROP は廃棄、ACCEPTは許可になります。)
と打ち込むと、転送禁止、アウトバウンド規制無しになります。
ちなみにデフォルトだと全部ACCEPTなんですが、RH-Firewall-1-INPUTという変なものがOUTPUTの下にあるかもしれません。
INPUT, FORWARD, OUTPUTはチェインと言うんですが、
これはINPUTにjoinしたカスタムチェインであり、ユーザーが作成できるタイプのものです。
こいつを消したい場合は、
iptables -D INPUT 1
(INPUTの上から一番目のルールを消す)
iptables -F RH-Firewall-1-INPUT
(RH-Firewall-1-INPUTのルールを全部消す)
iptables -X RH-Firewall-1-INPUT
(RH-Firewall-1-INPUTのチェインを消す)
さて重要なのは1なんですが、
フィルタリングする方針としては使用している特定のサービス(httpd,sshd,ftpd等)以外のパケットを全て弾くというものになります。
次回に続く。
投稿日:08年10月27日 19:34:22
- 次の記事:Redmineのwiki記法
- 前の記事:NFSことはじめ
トラックバックURL
コメントする
