概要

Linuxインストール時Firewall設定は/etc/sysconfig/iptablesに書き込まれている。ファイルで変更した場合は再起動が必要。コマンドで実行した場合、反映は即時なので注意

# iptables -A INPUT -p icmp -j DROP
上記例はicmpを拒否するものだが、こんなのをtcpに対して行った場合は即時通信不能となる。
なんかまずいときは
# iptables -F
でクリアしておく

4つのテーブル

テーブルとは処理の種類。通常はfilterを良く使うがnatも見ることが多い。その他2つは見たことがない! ほとんどはfilterテーブルに対して行うため、指定しないとfilterに対する設定となる。

  1. filter
  2. nat(sysctl -w net.ipv4.ip_forward=1)
  3. mangle
  4. raw

チェイン

入出力のタイミング。テーブルによって使えるものが決まっている。

  1. INPUT
  2. PREROUTING
  3. POSTROUTING
  4. FORWARD
  5. OUTPUT

ターゲット

DROP,ACCEPTなどは一回マッチしたらそのパケットの扱いは終了。 LOGなどは処理を続ける。

iptables -A INPUT -p tcp -m --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -j DROP

CUI設定変更ツール

system-config-securitylevel

コマンド一覧

現在の設定を確認iptables -L
現在の設定をクリアiptables -F

CHAINの種類

主にINPUTを制御することになるだろう。内部から外部通信を制限する場合は、OUTPUTを変更する必要がある。

INPUTチェーンの設定。コマンド版

# サーバーへの攻撃対応(From さくらVPSの情報)
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#ローカルからの通信は許可(一番先頭に持ってくる)
iptables -A INPUT -i lo -j ACCEPT
#すでに接続されているものは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#ローカル以外のICMPは拒否(適用順に注意)
iptables -A INPUT -p icmp -j DROP
# 各種ポートの許可(ssh,http,https)
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#INPUTは基本落とす
iptables -P INPUT DROP 
service iptables save
iptables-save -c
# Generated by iptables-save v1.4.18 on Tue Oct  6 08:26:41 2015
*filter
:INPUT DROP [1:60]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [151:20456]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
COMMIT
# Completed on Tue Oct  6 08:26:41 2015

ipsetとは

カーネルレベルで用意されているipのグルーピングのツール。 単体で使うというよりはfirewalldやiptablesと組み合わせて使うことが多いので取り上げた。

攻撃者除去コマンドライン

ログを汚すので

iptables -I INPUT -s 攻撃者IP -j DROP

SSH ブルートフォースアタック対策

成功、失敗にかかわらず60秒間で4回目のSSH接続を拒否する。

# allow
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 30 --hitcount 2 --rttl --name SSH -j DROP

トップ   編集 凍結 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2022-10-14 (金) 13:16:52