UNIX/Soft/iptables の履歴(No.10)

履歴一覧
差分を表示
現在との差分を表示
ソースを表示
UNIX/Soft/iptables へ行く。
- 1 (2010-10-02 (土) 07:06:37)
- 2 (2012-04-05 (木) 05:26:17)
- 3 (2015-04-08 (水) 00:34:14)
- 4 (2015-04-10 (金) 08:32:45)
- 5 (2015-10-06 (火) 08:37:04)
- 6 (2015-12-22 (火) 05:04:34)
- 7 (2016-02-02 (火) 14:58:06)
- 8 (2016-02-03 (水) 09:02:15)
- 9 (2016-09-20 (火) 23:35:02)
- 10 (2016-09-22 (木) 08:21:24)

CentOS6までのファイヤーウォールの設定。CentOS7からはfirewalldに変更だが、iptablesがベースになっている。なおfirewalldのルールをクリアすると自分で入力したルールが有効になるなど基本firewalld優先なので、iptalesだけを使う場合はfirewalldをとめるべし。

概要
4つのテーブル
チェイン
ターゲット
CUI設定変更ツール
コマンド一覧
CHAINの種類
- INPUTチェーンの設定。コマンド版
攻撃者除去コマンドライン
SSH ブルートフォースアタック対策

概要†

Linuxインストール時Firewall設定は/etc/sysconfig/iptablesに書き込まれている。ファイルで変更した場合は再起動が必要。コマンドで実行した場合、反映は即時なので注意

# iptables -A INPUT -p icmp -j DROP
上記例はicmpを拒否するものだが、こんなのをtcpに対して行った場合は即時通信不能となる。
なんかまずいときは
# iptables -F
でクリアしておく

↑

4つのテーブル†

テーブルとは処理の種類。通常はfilterを良く使うがnatも見ることが多い。その他2つは見たことがない！ほとんどはfilterテーブルに対して行うため、指定しないとfilterに対する設定となる。

filter
nat(sysctl -w net.ipv4.ip_forward=1)
mangle
raw

↑

チェイン†

入出力のタイミング。テーブルによって使えるものが決まっている。

INPUT
PREROUTING
POSTROUTING
FORWARD
OUTPUT

↑

ターゲット†

DROP,ACCEPTなどは一回マッチしたらそのパケットの扱いは終了。 LOGなどは処理を続ける。

80番を許可して他はドロップ

iptables -A INPUT -p tcp -m --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -j DROP

↑

CUI設定変更ツール†

CentOSでの設定内容は/etc/sysconfig/iptablesに書き込まれている。

system-config-securitylevel

centosではsetupコマンドからFirewallの設定を行うが、慣れたら上記ファイル直接の方が早いかも

↑

コマンド一覧†

現在の設定を確認	iptables -L
現在の設定をクリア	iptables -F

↑

CHAINの種類†

主にINPUTを制御することになるだろう。内部から外部通信を制限する場合は、OUTPUTを変更する必要がある。

↑

INPUTチェーンの設定。コマンド版†

# サーバーへの攻撃対応(From さくらVPSの情報)
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#ローカルからの通信は許可(一番先頭に持ってくる)
iptables -A INPUT -i lo -j ACCEPT
#すでに接続されているものは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#ローカル以外のICMPは拒否(適用順に注意)
iptables -A INPUT -p icmp -j DROP
# 各種ポートの許可(ssh,http,https)
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#INPUTは基本落とす
iptables -P INPUT DROP

問題なければセーブする[x:x]は合致したパケット:バイトらしいのであるが、0:0でもよい

service iptables save

別ファイルに書き出すなら

iptables-save -c

# Generated by iptables-save v1.4.18 on Tue Oct  6 08:26:41 2015
*filter
:INPUT DROP [1:60]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [151:20456]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
COMMIT
# Completed on Tue Oct  6 08:26:41 2015

↑

攻撃者除去コマンドライン†

ログを汚すので

iptables -I INPUT -s 攻撃者IP -j DROP

↑

SSH ブルートフォースアタック対策†

成功、失敗にかかわらず60秒間で4回目のSSH接続を拒否する。

# allow
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 30 --hitcount 2 --rttl --name SSH -j DROP