UNIX/Soft/iptables
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
-CentOS6までのファイヤーウォールの設定。CentOS7からはfire...
#contents
*概要 [#yd030d39]
Linuxインストール時Firewall設定は/etc/sysconfig/iptables...
# iptables -A INPUT -p icmp -j DROP
上記例はicmpを拒否するものだが、こんなのをtcpに対して行...
なんかまずいときは
# iptables -F
でクリアしておく
*4つのテーブル [#aa714bd4]
テーブルとは処理の種類。通常はfilterを良く使うがnatも見る...
ほとんどはfilterテーブルに対して行うため、指定しないとfil...
+filter
+nat(sysctl -w net.ipv4.ip_forward=1)
+mangle
+raw
*チェイン [#cd240d7c]
入出力のタイミング。テーブルによって使えるものが決まって...
+INPUT
+PREROUTING
+POSTROUTING
+FORWARD
+OUTPUT
*ターゲット [#i956052a]
DROP,ACCEPTなどは一回マッチしたらそのパケットの扱いは終了。
LOGなどは処理を続ける。
-80番を許可して他はドロップ
iptables -A INPUT -p tcp -m --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -j DROP
*CUI設定変更ツール [#g585c9b8]
-CentOSでの設定内容は/etc/sysconfig/iptablesに書き込まれ...
system-config-securitylevel
-centosではsetupコマンドからFirewallの設定を行うが、慣れ...
*コマンド一覧 [#o9c11c46]
|現在の設定を確認|iptables -L|
|現在の設定をクリア|iptables -F|
*CHAINの種類 [#y03331fb]
主にINPUTを制御することになるだろう。内部から外部通信を制...
**INPUTチェーンの設定。コマンド版 [#l17445fa]
# サーバーへの攻撃対応(From さくらVPSの情報)
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j...
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#ローカルからの通信は許可(一番先頭に持ってくる)
iptables -A INPUT -i lo -j ACCEPT
#すでに接続されているものは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -...
#ローカル以外のICMPは拒否(適用順に注意)
iptables -A INPUT -p icmp -j DROP
# 各種ポートの許可(ssh,http,https)
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#INPUTは基本落とす
iptables -P INPUT DROP
-問題なければセーブする[x:x]は合致したパケット:バイトらし...
service iptables save
-別ファイルに書き出すなら
iptables-save -c
# Generated by iptables-save v1.4.18 on Tue Oct 6 08:26...
*filter
:INPUT DROP [1:60]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [151:20456]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
COMMIT
# Completed on Tue Oct 6 08:26:41 2015
*ipsetとは [#q2db4949]
カーネルレベルで用意されているipのグルーピングのツール。
単体で使うというよりはfirewalldやiptablesと組み合わせて使...
*攻撃者除去コマンドライン [#b0467423]
ログを汚すので
iptables -I INPUT -s 攻撃者IP -j DROP
*SSH ブルートフォースアタック対策 [#xc157285]
成功、失敗にかかわらず60秒間で4回目のSSH接続を拒否する。
# allow
iptables -A INPUT -p tcp --dport 22 -m state --state NEW...
iptables -A INPUT -p tcp --dport 22 -m state --state NEW...
終了行:
-CentOS6までのファイヤーウォールの設定。CentOS7からはfire...
#contents
*概要 [#yd030d39]
Linuxインストール時Firewall設定は/etc/sysconfig/iptables...
# iptables -A INPUT -p icmp -j DROP
上記例はicmpを拒否するものだが、こんなのをtcpに対して行...
なんかまずいときは
# iptables -F
でクリアしておく
*4つのテーブル [#aa714bd4]
テーブルとは処理の種類。通常はfilterを良く使うがnatも見る...
ほとんどはfilterテーブルに対して行うため、指定しないとfil...
+filter
+nat(sysctl -w net.ipv4.ip_forward=1)
+mangle
+raw
*チェイン [#cd240d7c]
入出力のタイミング。テーブルによって使えるものが決まって...
+INPUT
+PREROUTING
+POSTROUTING
+FORWARD
+OUTPUT
*ターゲット [#i956052a]
DROP,ACCEPTなどは一回マッチしたらそのパケットの扱いは終了。
LOGなどは処理を続ける。
-80番を許可して他はドロップ
iptables -A INPUT -p tcp -m --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -j DROP
*CUI設定変更ツール [#g585c9b8]
-CentOSでの設定内容は/etc/sysconfig/iptablesに書き込まれ...
system-config-securitylevel
-centosではsetupコマンドからFirewallの設定を行うが、慣れ...
*コマンド一覧 [#o9c11c46]
|現在の設定を確認|iptables -L|
|現在の設定をクリア|iptables -F|
*CHAINの種類 [#y03331fb]
主にINPUTを制御することになるだろう。内部から外部通信を制...
**INPUTチェーンの設定。コマンド版 [#l17445fa]
# サーバーへの攻撃対応(From さくらVPSの情報)
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j...
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#ローカルからの通信は許可(一番先頭に持ってくる)
iptables -A INPUT -i lo -j ACCEPT
#すでに接続されているものは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -...
#ローカル以外のICMPは拒否(適用順に注意)
iptables -A INPUT -p icmp -j DROP
# 各種ポートの許可(ssh,http,https)
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#INPUTは基本落とす
iptables -P INPUT DROP
-問題なければセーブする[x:x]は合致したパケット:バイトらし...
service iptables save
-別ファイルに書き出すなら
iptables-save -c
# Generated by iptables-save v1.4.18 on Tue Oct 6 08:26...
*filter
:INPUT DROP [1:60]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [151:20456]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
COMMIT
# Completed on Tue Oct 6 08:26:41 2015
*ipsetとは [#q2db4949]
カーネルレベルで用意されているipのグルーピングのツール。
単体で使うというよりはfirewalldやiptablesと組み合わせて使...
*攻撃者除去コマンドライン [#b0467423]
ログを汚すので
iptables -I INPUT -s 攻撃者IP -j DROP
*SSH ブルートフォースアタック対策 [#xc157285]
成功、失敗にかかわらず60秒間で4回目のSSH接続を拒否する。
# allow
iptables -A INPUT -p tcp --dport 22 -m state --state NEW...
iptables -A INPUT -p tcp --dport 22 -m state --state NEW...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
