Linux:ipchains について
技術ドキュメント目次 -> Linux -> ipchains について本技術ドキュメントは、2002~2004年頃に作成したものが多いです。
内容が古くなっていることもあるかと思いますが、ご了承ください。
【低価格SSL証明書】弊社運営の低価格SSL証明書販売サイト、翌月末払いなど請求書払いも可能。
RedHat7.1 で、ipchains を使用して、
ipパケットフィルターの設定を行うための手順をメモしておきます。
まず、/etc/sysconfig/ipchains を次のように編集します。
(そのマシンの IPアドレスが 192.168.1.1 で、
ホスト名が ns.gorigori.jp であるとします)
|
## デフォルトルールは、外に向かうパケットのみ全許可 ## それ以外は DENY する。 :input DENY :forward DENY :output ACCEPT ## local の インターフェイスを使用するパケットは全て許可 -A input -s 0/0 -d 0/0 -i lo -j ACCEPT ## 信用しているネットワーク(192.168.0.0/16)からは、FTP・telnet・ssh(ポート20~23)を許可 -A input -p tcp -s 192.168.0.0/16 -d 192.168.1.1 20:23 -j ACCEPT ## このマシンから外部のFTPサーバに対して FTPを行う時のため、 ## ポート20がソースになっている TCPのパケットを受信する。 ## このマシンが FTP のクライアントにある可能性がない場合は、この行を削除すること。 -A input -p tcp -s 0/0 20 -d 192.168.1.1 1024:65535 -y -j ACCEPT ## 1024 以上のポートに対しては、SYNでないパケットのみ許可する。 ## (ただし上記のFTPクライアントとして動作させるための設定を除く) -A input -p tcp -s 0/0 -d 192.168.1.1 1024:65535 -y -j DENY -A input -p tcp -s 0/0 -d 192.168.1.1 1024:65535 -j ACCEPT ## SMTP HTTP DNS AUTH(113)は全てからアクセスを許可する -A input -p tcp -s 0/0 -d 192.168.1.1 25 -j ACCEPT -A input -p tcp -s 0/0 -d 192.168.1.1 53 -j ACCEPT -A input -p tcp -s 0/0 -d 192.168.1.1 80 -j ACCEPT -A input -p tcp -s 0/0 -d 192.168.1.1 113 -j ACCEPT -A input -p udp -s 0/0 -d 192.168.1.1 53 -j ACCEPT -A input -p udp -s 0/0 53 -d 192.168.1.1 -j ACCEPT |
そして、ipchains の起動シェルで restart を行うと、
/etc/sysconfig/ipchains の内容が、
IPパケットフィルタリングの設定として有効になります。
|
# /etc/rc.d/init.d/ipchains restart Flushing all current rules and user defined chains: [ OK ] Clearing all current rules and user defined chains: [ OK ] Applying ipchains firewall rules: [ OK ] # |
ipchains の設定がどのようになっているかを確認するためには、
ipchains を -L オプションで実行します。
|
# ipchains -L Chain input (policy DENY): target prot opt source destination ports ACCEPT all ------ anywhere anywhere n/a ACCEPT tcp ------ 192.168.0.0/16 ns.gorigori.jp any -> ftp-data:telnet ACCEPT tcp -y---- anywhere ns.gorigori.jp ftp-data -> 1024:65535 DENY tcp -y---- anywhere ns.gorigori.jp any -> 1024:65535 ACCEPT tcp ------ anywhere ns.gorigori.jp any -> 1024:65535 ACCEPT tcp ------ anywhere ns.gorigori.jp any -> smtp ACCEPT tcp ------ anywhere ns.gorigori.jp any -> domain ACCEPT tcp ------ anywhere ns.gorigori.jp any -> http ACCEPT tcp ------ anywhere ns.gorigori.jp any -> auth ACCEPT ucp ------ anywhere ns.gorigori.jp any -> domain ACCEPT udp ------ anywhere ns.gorigori.jp domain -> any Chain forward (policy DENY): Chain output (policy ACCEPT): # |
■ Linux についての他のドキュメント
- rootログインの制御(/etc/securetty)
- ipchains について
- /proc/ によるCPU情報の参照(/proc/cpuinfo)
- /proc/ によるファイルオープン上限数の制御 (/proc/sys/fs/file-*)
- RedHat7.1にproftedをinstallした時のメモ
- RedHat系でIPエイリアス
- RedHatのバージョンの確認方法
- サポートの終わったRedHat7.3にfedoralegacyのパッチをあてる
- rpmによってインストールされたファイル一覧を確認する
- rpmの依存関係を確認する
- インストールされているrpm一覧を調べる
- インストール済みファイルがどのrpmに含まれるか確認する
■ 他のグループのドキュメント
Apache / Linux / FreeBSD / OpenSSL / Perl / HTTPプロトコル / Jakarta Tomcat / Java / NetBSD / Oracle / PostgreSQL / UNIX の C言語 / UNIX のコマンド / Windows / bind / システム運用TIPS