プロが教えるわが家の防犯対策術!

DNSサーバ兼Webサーバに使おうと思っています。
SSHは使います。
(現在試験稼動中です。)

セキュリティを強化するために是非ともご指摘・ご指南頂ければ幸いです。
よろしくお願いします。<(_ _)>

/etc/sysconfig/iptables
--
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A OUTPUT -pudp -m udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 244.0.0.251 -p udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISH -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
--

A 回答 (2件)

すみません#1です。



ちょっと勘違いしていました。
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
この行で、一通りいらない通信を拒否しているようですね。

なので
ここから====================
:INPUT ACCEPT [0:0]
この記述がありますが、そのサーバに対して入ってくる通信がデフォルト許可になっています。

現状ではスカスカですね。

最低限
iptables -P INPUT DROP
service iptables save

などとしておく必要があります。
ここまで===================

は無視してください。
すみません。
    • good
    • 0
この回答へのお礼

ご返答いただきましてありがとうございました!
今回初めてiptablesを使っているのですが、まだ全然理解しきれていなくて四苦八苦しています。
また何かお気づきの点がありましたら是非ともご指摘・ご指南いただければと思います。
今後ともよろしくお願い致します。

お礼日時:2005/05/27 12:27

:INPUT ACCEPT [0:0]


この記述がありますが、そのサーバに対して入ってくる通信がデフォルト許可になっています。

現状ではスカスカですね。

最低限
iptables -P INPUT DROP
service iptables save

などとしておく必要があります。

後は、SSH・FTPの接続元の端末が決まっているのであればそれで制限をかければ良いでしょう。

例えばSSHを192.168.0.0/24からのみに制限したい場合

-A RH-Firewall-1-INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

ですね。

書き換えた後は、
service iptables restart
してください。
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!