Linuxファイアーウォール・iptablesの設定変更

iptablesはlinuxに組み込まれている
パケットフィルター機能です。

iptablesに設定することで必要ないパケットを
拒否しセキュリティーの向上が期待できる可能性があります。

iptablesは
/etc/sysconfig/iptablesにあります。
rootでログインしていれば
vi /etc/sysconfig/iptables
作業ユーザーでログイン時は
sudo vi /etc/sysconfig/iptables

これでviが起動するので編集することが出来ます。
[iptablesの内容] *filter
:INPUT   ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT  ACCEPT [0:0] :SERVICE – [0:0]

-A INPUT -j SERVICE
-A FORWARD -j SERVICE
-A SERVICE -i lo -j ACCEPT
-A SERVICE -p icmp –icmp-type any -j ACCEPT
-A SERVICE -p 50 -j ACCEPT
-A SERVICE -p 51 -j ACCEPT
-A SERVICE -p udp –dport 5353 -d 224.0.0.251 -j ACCEPT
-A SERVICE -p udp -m udp –dport 631 -j ACCEPT
-A SERVICE -p tcp -m tcp –dport 631 -j ACCEPT
-A SERVICE -m state –state ESTABLISHED,RELATED -j ACCEPT

# SSH, HTTP, FTP1, FTP2,DNS,FTP(PASV)
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 80    -j ACCEPT
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 20    -j ACCEPT
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 21    -j ACCEPT
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 53    -j ACCEPT
-A SERVICE -m state –state NEW -m udp -p udp –dport 53    -j ACCEPT
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 50000:50500  -j ACCEPT

-A SERVICE -j REJECT –reject-with icmp-host-prohibited

COMMIT
[EOF]

# SSH, HTTP, FTP1, FTP2,DNS,FTP(PASV)より上はおまじないと思ってもらって
詳しくしりた方はこちらに解説があります。

-A SERVICE -m state –state NEW -m tcp -p tcp –dport 1000 -j ACCEPT
SSHの設定で設定したポートを通します。
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 80    -j ACCEPT
HTTPの通信を通します。
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 20    -j ACCEPTF
FTPのデータ用の通信を通します。
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 21    -j ACCEPT
FTPの制御用の通信を通します。
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 53    -j ACCEPT
DNSのTCPパケットを通します。
-A SERVICE -m state –state NEW -m udp -p udp –dport 53    -j ACCEPT
DNSのUDPパケットを通します
-A SERVICE -m state –state NEW -m tcp -p tcp –dport 50000:50500  -j ACCEPT
FTPのパッシブモードのポート域を設定します[50000番~50500番]

-A SERVICE -j REJECT –reject-with icmp-host-prohibited
今までの設定で引っかからなかったパケットを接続拒否して破棄します。

まだメールの設定を行ってませんが
httpの設定をコピーして、2行作成して
httpの80番→25(SMTP用)
httpの80番→110(POP3用)
二変更することでパケットを通す事ができますが、
25番ポートが不用意に開けるとメールの不正中継などで
痛い目に逢うので十分注意してください。

iptablesの設定反映は
/etc/init.d/iptables restart
でiptablesが再起動されます。
場合によってはroot権限が必要です。

スポンサーリンク