FC2ブログ
ブログパーツ アクセスランキング
インフラ情報まとめ
アクセスランキング
サーバー、クライアント関係の構築、運用等のまとめ書きです。旧名 ほぷぅ(。・ω・)ノPCまとめ

ファイアーウォールの設定 iptables




にほんブログ村 IT技術ブログ IT技術メモへ

Linuxファイアーウォールの設定


iptables のテンプレートを照会しまつ(*'ω'*)


X-Window の GUIの画面でぷちぷちとクリックして設定もよろしいですが

その設定を別のPCに使用したりしたい場合など後々の事を考えると

シェルスクリプトとしてまとめて(BATみたいなもの)おくと便利です。


ファイアーウォール自体の起動・停止のコマンドは

/etc/rc.d/init.d/iptables stop

/etc/rc.d/init.d/iptables start

または

service iptables stop

service iptables start


ルールは /etc/sysconfig/iptables に記述します。


例えばFTPの設定をしてみます。

GUI画面ですとこのようにFTPの箇所をクリックします。


ほぷぅ(。・ω・) ノ パソコンめも-FireFTP


コマンドで表記すると以下のようになります。

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT


--dportは、そのホスト(自分のサーバ)に対する20-21番ポートへの接続を許可しています。
--sportは外部のWEBサーバに接続した時にその外部のWEBサーバから帰ってくるパケットを許可する設定です。サーバーから一切Webサイトを見ないのであれば不要です。

このようにファイアーウォールルールを(append)追加していきます。( -A )

-p はプロトコルです。 上記の例では tcp となります。
-j はターゲットです。 上記の例ではACCEPT(通過) 拒否したい場合はDROP(破棄)ですぅ


/etc/sysconfig/iptables の中身に↓のように保存時に記録されます。

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

これだと分かりにくいので最初のコマンド自体を記録したシェルスクリプトファイルを用意しました


すべて設定が完了したら

/etc/init.d/iptables save
iptables: ファイアウォールのルールを /etc/sysconfig/iptable[ OK ]中:


設定の確認は iptables -L


iptables -L --line-numbers とすることで行番号をつけて表示しますぅ

~略~

8 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
9 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https



それぞれ -c オプションを付ける事でバイトおよびパケットカウンタはリセットされないです。

例) iptables-save -c


iptables スクリプトテンプレート 必要なもののみ設定してください

#!/bin/bash
# ファイアウォール停止(すべてのルールをクリア)
 
 
#FW初期化
/etc/rc.d/init.d/iptables stop
 
 
#ループ以外の場合ping破棄
iptables -A INPUT -p icmp -s ! 127.0.0.1 -j DROP
 
# 自ホストからのアクセスをすべて許可
iptables -A INPUT -i lo -j ACCEPT
 
# 内部から行ったアクセスに対する外部からの返答アクセスを許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# 全ホスト(ブロードキャストアドレス、マルチキャストアドレス)宛パケットはログを記録せずに>
強制破棄
# ※不要ログ記録防止
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -d 224.0.0.1 -j DROP
 
 
#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここから) #
#----------------------------------------------------------#
 
# ※FTP
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
 
# 外部からの22番ポート(SSH)へのアクセスを許可
# ※SSHサーバーを公開する場合のみ
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --sport 22 -j ACCEPT
 
# ※SMTPサーバー
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 587 -j ACCEPT
 
# 外部からのTCP/UDP53番ポート(DNS)へのアクセスを許可
# ※外部向けDNSサーバーを運用する場合のみ
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
 
# 外部からの80番ポート(HTTP)へのアクセスを許可
# ※Webサーバーを公開する場合のみ
#http://www.wips.jp/
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
#https://www.wips.jp:8443/login.php3?previous_page=index
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
 
# 外部からの106番ポート(POP3PW)へのアクセスを許可
# 外部からの110番ポート(POP3)へのアクセスを許可
# ※POP3サーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 106 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --sport 106 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -j ACCEPT
 
# 外部からの143番ポート(IMAP)へのアクセスを許可
# ※IMAPサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --sport 143 -j ACCEPT
 
# 外部からの443番ポート(HTTPS)へのアクセスを許可
# ※Webサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT
 
# 外部からの465番ポート(SMTPS)へのアクセスを許可
# ※SMTPSサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -A INPUT -p tcp --sport 465 -j ACCEPT
 
# 外部からの993番ポート(IMAPS)へのアクセスを許可
# ※IMAPSサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -A INPUT -p tcp --sport 993 -j ACCEPT
 
# 外部からの995番ポート(POP3S)へのアクセスを許可i
# ※POP3Sサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --sport 995 -j ACCEPT
 
# ※PPP
iptables -A INPUT -p tcp --dport 3000 -j ACCEPT
iptables -A INPUT -p tcp --sport 3000 -j ACCEPT
 
# ※mysql
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --sport 3306 -j ACCEPT
 
# ※postgresql
iptables -A INPUT -p tcp --dport 5432 -j ACCEPT
iptables -A INPUT -p tcp --sport 5432 -j ACCEPT
 
#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここまで) #
#----------------------------------------------------------#
 
# デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設定
iptables -P INPUT DROP # 受信はすべて破棄
iptables -P OUTPUT ACCEPT # 送信はすべて許可
iptables -P FORWARD ACCEPT # 通過はすべて許可
 
# ファイアウォール起動
/etc/rc.d/init.d/iptables start
 

設定ファイルを保存せずに起動時に毎回このシェルを実行してiptablesの設定をする場合は

/etc/rc.d/rc.local の中身に

sh /root/iptables.sh と記述します


ほぷぅ(。・ω・) ノ パソコンめも-iptablesルール

関連記事








  1. 2011/06/04(土) 14:34:40|
  2. Linux-Security
  3. | トラックバック:0

トラックバック

トラックバック URL
http://pcmemorin.blog.fc2.com/tb.php/95-93733b18
この記事にトラックバックする(FC2ブログユーザー)


サイトマップ・お奨め記事

CentOS7 まとめ
Ubuntu14 まとめ
Ubuntu12用無線アダプタ紹介
Ubuntu12 まとめ
Server 2008R2 まとめ
SCCM2012R2 まとめ
Windows10 アップグレード
Windows7 まとめ
Windows7 SSD まとめ
Windows8 まとめ
EaseUS Todo Backup Server
Linux Destbision まとめ
Linuxコマンド関連Index
Zorin8.1まとめ
Fedora17まとめ
Fedora15まとめ
VB Script まとめ
USB3.0で快適バックアップ
リンク集・メール


スポンサードリンク


リンク


サイト登録Paseon

・はじめての自宅サーバ構築 - Fedora/CentOS -

・Fedoraで自宅サーバー構築

・CentOSで自宅サーバー構築

・ぼくんちのTV別館

・ネットセキュリティブログ

・まとめ横丁

・オールフリーソフト


相互リンク更新情報
BookMark
GPUベンチマーク(ドスパラ)
VMware OS仮想化
EaseUS
Fedora releases ISO
【Http外部からの表示確認】
ポートスキャンチェック
IPA情報処理推進機構
無料DNS ieServer
無料DNS-MyDNS
yahooログイン履歴チェック
メール不正中継拒否テスト
Fedora Project
allbootdisks
Edy Viewer
ESXi動作実績ハードウェア@Wiki
IEEE Standards

---ライセンス認証解除系リンク---
ShadowProtect Personal
.NET製品
弥生



--所有サーバーWiki--
NEC Express5800/S70
HP ProLiant ML110G5
PRIMERGY TX100 S3

このブログをリンクに追加する

カテゴリ

Linux (45)
Linux-CentOS7 (70)
Linux-Ubuntu14.04 (87)
Linux-Ubuntu12.04 (76)
Linux-Zorin8.1 (36)
Linux-Fedoras.soft (19)
Linux-Fedora18 (11)
Linux-Fedora17 (39)
Linux-Fedora15 (60)
Linux-Fedora11 (36)
Linux-Fedora16 (1)
Linux-Security (3)
Linux/Unix シェル (38)
Linux Distribution (53)
仮想OS (31)
Windows Server 2008 (254)
Windows Server 2012 (30)
Windows Server コマンド (39)
Windows Server アプリ (14)
Windows (40)
Windows 10 (3)
Windows 7 (59)
Windows 8 (257)
Windowsアプリ (23)
Windows 8 アプリ (29)
Windows レジストリ (6)
Windows BAT (17)
ネットワーク (5)
MySQL (1)
ニュース (8)
ハードウェア (11)
Windows VBScript-Basp21 (1)
VBScript (29)
Windows Vista (1)
Windows グループポリシー (3)
Security (6)
未分類 (4)
クールなアイテムまとめ (5)
Game (1)
PowerShell (4)


Linux ブログランキングへ

カテゴリ2

SCCM Backup 遠隔操作 VirtualBox FeliCaポート/パソリ ESXi 

カウンター

RSSリンクの表示

アクセスランキング

[ジャンルランキング]
コンピュータ
75位
アクセスランキングを見る>>

[サブジャンルランキング]
その他
14位
アクセスランキングを見る>>



フィードメーター - ほぷぅ(。・ω・) ノ PCまとめ Linux,Win,自宅サ..


Windows ブログランキングへ

にほんブログ村 IT技術ブログ IT技術メモへ
にほんブログ村

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

 



Linux ブログランキングへ





<%plugin_third_title>

<%plugin_third_description>

<%plugin_third_content>

<%plugin_third_description2>