CentOS 5.2 x64でiptablesを設定

タックス

iptablesは、パケットの拒否や許可、転送などを行うソフトウェアです。
ファイヤーウォールとして使用することも可能ですし、設定次第でルーターとしても使うことができます。
今回は、このiptablesをファイヤーウォールとして設定する方法をご紹介したいと思います。
まず、今回ご紹介する設定は、あくまで初歩的なものです。
今までもMediatombやApacheの設定の説明の中で、何度もiptablesの設定方法を紹介してきましたが、それだけでは到底理解することは無理だと思っています。
ファイヤーウォールは、とっても奥が深い分野ですから、1回で説明するのは難しいと思っていますので、機会があれば第2回、3回と続けていきたいと思っています。

設定は、なるべくこの流れに従って設定して下さい。
もちろん、不要なものは設定する必要はありませんが、流れが逆の場合は、正常に動作しない恐れがありますので、注意して下さい。

  • iptablesのインストール

  • 既にインストールされている場合は、不要です。
    # yum -y install iptables

  • 設定クリア

  • 一応既に設定されているものも含めて、設定を初期化します。
    # iptables -F

  • 受信を全て破棄

  • # iptables -P INPUT DROP

  • 送信を全て許可

  • # iptables -P OUTPUT ACCEPT

  • 通過は全て破棄

  • # iptables -P FORWARD DROP

  • 現在の設定表示

  • # iptables -L
    何も設定されていないことを確認

  • PINGの許可

  • # iptables -A INPUT -p icmp -j ACCEPT

  • ローカルの許可

  • # iptables -A INPUT -i lo -j ACCEPT

  • LAN内からのアクセスを全て許可

  • # iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
    アドレス体系は、ご自身のネットワークの体系に併せて下さい。

  • ブロードキャストアドレス、マルチキャストアドレス宛のパケットを破棄

  • # iptables -A INPUT -d 255.255.255.255 -j DROP
    # iptables -A INPUT -d 224.0.0.1 -j DROP

  • FTPの許可。

  • FTPサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

  • SSHの許可。

  • SSHサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 22 -j ACCEPT

  • Telnetの許可。

  • Telnetサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 23 -j ACCEPT

  • SMTPの許可。

  • SMTPサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    メール送信する場合は、以下も設定。
    # iptables -A INPUT -p tcp --sport 25 -j ACCEPT

  • DNSの許可。

  • DNSサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p udp --dport 53 -j ACCEPT

  • HTTPの許可。

  • Apacheサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    サーバ上でブラウザーを利用してWeb閲覧する場合は、以下も設定。
    # iptables -A INPUT -p tcp --sport 80 -j ACCEPT

  • POP3の許可。

  • POP3サーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 110 -j ACCEPT

  • NTPの許可。

  • NTPサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p udp --dport 123 -j ACCEPT

  • NetBIOSの許可。

  • Sambaサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p udp --dport 137:138 -j ACCEPT
    # iptables -A INPUT -p tcp --dport 139:445 -j ACCEPT

  • SNMPの許可。

  • SNMPサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 161 -j ACCEPT
    # iptables -A INPUT -p udp --dport 161 -j ACCEPT

  • LDAPの許可。

  • LDAPサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 389 -j ACCEPT

  • SSLの許可。

  • ApacheでSSLを許可している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    サーバ上でブラウザーを利用してWeb閲覧する場合は、以下も設定。
    # iptables -A INPUT -p tcp --sport 443 -j ACCEPT

  • CUPSの許可。

  • CUPSサーバを起動している場合、設定して下さい。
    # iptables -A INPUT -p tcp --dport 631 -j ACCEPT

  • Windows Live

  • Pidginでメッセージを利用する場合、設定して下さい。
    # iptables -A INPUT -p tcp --sport 1863 -j ACCEPT

  • Mediatomb

  • Mediatombを起動している場合は、設定して下さい。
    # iptables -A INPUT -p udp --dport 1900 -j ACCEPT
    # iptables -A INPUT -p tcp --dport 50500 -j ACCEPT

  • 上記のルールにマッチしなかったログの記録しパケットを破棄。

  • ログを記録する場合は、設定して下さい。
    # iptables -A INPUT -m limit --limit 1/s -j LOG --log-prefix "[IPTABLES INPUT] : "
    # iptables -A INPUT -j DROP
    # iptables -A FORWARD -m limit --limit 1/s -j LOG --log-prefix "[IPTABLES FORWARD] : "
    # iptables -A FORWARD -j DROP

  • 設定の保存。

  • # service iptables save

  • iptablesの起動設定と起動。

  • サーバの起動時にiptablesが起動するように設定。
    # chkconfig --level 2345 iptables on

    iptablesの起動
    # service iptables start


    以上です。
    なお、これらの設定は、/etc/sysconfig/iptablesファイルを編集してもOKです。

    以下、参考リンクです。

    Wikipedia(Linux)
    Wikipedia(CentOS)
    Wikipedia(iptables)

関連記事


FC2Blog Rankingblogram投票ボタンとれまが人気ブログランキングブログランキング・にほんブログ村へ
くる天 人気ブログランキングにほんブログ村 IT技術ブログ CentOSへ

テーマ : Linux
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

WING☆

Author:WING☆


カレンダー
05 | 2017/06 | 07
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -
最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
カウンター
お問い合わせ

名前:
メール:
件名:
本文:

WING☆からのお知らせ
  • CentOS 7設定集
  •    └wingリポジトリ(el7)

  • CentOS 6 x64設定集
  •    └wingリポジトリ(el6)

  • CentOS 5 x64設定集
  •    └wingリポジトリ(el5)



    My Yahoo!に追加

    FC2ブログランキング



    リンク
    ブロとも一覧
    Virtualization & Sever Maniax
    RSSリンクの表示
    QRコード
    QRコード
    ブロとも申請フォーム

    この人とブロともになる