iptablesをさわっています。80番ポートのみあけたいのですが、80番以外も外部からアクセスできてしまいます。
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
FILTERNAME=CKFILTER
TARGET=CKFILTERED
iptables -A $FILTERNAME -s 58.6.0.0/17 -j $TARGET
iptables -A $FILTERNAME -s 58.6.128.0/17 -j $TARGET
iptables -A $FILTERNAME -s 58.7.0.0/16 -j $TARGET
iptables -A $FILTERNAME -s 58.14.0.0/15 -j $TARGET
iptables -A $FILTERNAME -s 58.16.0.0/16 -j $TARGET
iptables -A $FILTERNAME -s 58.17.0.0/17 -j $TARGET
iptables -A CKFILTER -j ACCEPT
iptables -A CKFILTERED -j LOG --log-prefix "Reject-TCP "
iptables -A CKFILTERED -j DROP
iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
どこが間違っているのか見つけられず困っています。
No.2ベストアンサー
- 回答日時:
> iptables -P INPUT DROP
> このあたりで閉じたことにはなっていないのでしょうか。
これはテーブルに合致しなかった場合に最後に参照されます。
外部から入ってきたSYNパケットは
iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
で CKFILTER テーブルに入ります。
CKFILTER は
iptables -A CKFILTER -s 58.6.0.0/17 -j CKFILTERED
iptables -A CKFILTER -s 58.6.128.0/17 -j CKFILTERED
iptables -A CKFILTER -s 58.7.0.0/16 -j CKFILTERED
iptables -A CKFILTER -s 58.14.0.0/15 -j CKFILTERED
iptables -A CKFILTER -s 58.16.0.0/16 -j CKFILTERED
iptables -A CKFILTER -s 58.17.0.0/17 -j CKFILTERED
iptables -A CKFILTER -j ACCEPT
となっているため、IPアドレスに合致しないものはすべて ACCEPT されます。
したがって、-P で指定したところまで届きません。
その後の通信は
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ですべて ACCEPT になります。
----
80番のみ開けたい(指定したIP以外ログを取らない)のであれば、以下のようになります。
iptables -A $FILTERNAME -p tcp --dport 80 -j ACCEPT
>80番のみ開けたい(指定したIP以外ログを取らない)のであれば、以下のようになります。
>iptables -A $FILTERNAME -p tcp --dport 80 -j ACCEPT
ありがとうございます。別途ルールを作成するわけですね。
勉強なりました。本当にありがとうございます
No.1
- 回答日時:
ここで指定された以外の送信元は
iptables -A $FILTERNAME -s 58.6.0.0/17 -j $TARGET
iptables -A $FILTERNAME -s 58.6.128.0/17 -j $TARGET
iptables -A $FILTERNAME -s 58.7.0.0/16 -j $TARGET
iptables -A $FILTERNAME -s 58.14.0.0/15 -j $TARGET
iptables -A $FILTERNAME -s 58.16.0.0/16 -j $TARGET
iptables -A $FILTERNAME -s 58.17.0.0/17 -j $TARGET
これで許可されていますね。
iptables -A CKFILTER -j ACCEPT
基本はポート全閉じで、指定したポートのみ開けてはいかがでしょうか。
この回答への補足
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
このあたりで閉じたことにはなっていないのでしょうか。
iptables -A CKFILTER -j ACCEPT
iptables -A CKFILTERED -j LOG --log-prefix "Reject-TCP "
iptables -A CKFILTERED -j DROP
iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
ここの書き方がまちがっているのでしょうか。。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- UNIX・Linux iptablesを設定するとメール送信処理が遅くなる!? 6 2022/06/07 01:11
- UNIX・Linux Ubuntuサーバーでメールを受信できない 7 2022/08/23 20:55
- JavaScript セレクトボックスを2つ設けて選択して初めてメッセを表示 1 2022/07/27 12:15
- JavaScript switch文のswitch(n)の部分を複数の値にするか、if文に変えてほしいです。 1 2022/07/27 17:18
- HTML・CSS CSSが効かずどのように指定すれば良いか分からないのでアドバイスお願い致します 2 2023/06/07 12:25
- PHP PHP MySql 画像を取得 1 2022/06/04 14:05
- CGI htmlからパラメータで、cgiに渡したい。 1 2023/02/06 16:15
- UNIX・Linux デフォルト値のパラメータ展開 1 2022/08/12 17:34
- JavaScript clear機能を失わずにファイルアップロード機能を作成したい 3 2023/06/10 16:12
- Visual Basic(VBA) vba 重複データ合算 5 2023/07/05 18:55
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
chkconfig iptables --listって...
-
同一のホスト名で何か問題があ...
-
DNSサーバを設定したのですがns...
-
エクセルで#N/Aを含めた平均値...
-
”Tortoise SVN” と ”Subversio...
-
エラーメールで"too many hops"...
-
ドメインに参加しようとするとD...
-
パスワード設定していないユー...
-
コマンドでのFTP転送が進まない。
-
BIND エラー not found: 3(NXD...
-
Permission deniedエラーについて
-
リモートデスクトップ接続でパ...
-
AWSでSSH接続をしたいのですが...
-
特定アプリが落ちたら再起動し...
-
root権限によるFFFTPでの接続
-
Fedora37Gnome環境ではrootでロ...
-
TortoiseSVNでアクセスエラー
-
Windows Serverに対して、sshで...
-
社内でプロキシサーバ(Squid)の...
-
ifcfg-eth0 UUIDを調べる方法
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
scpコマンドでサーバー間のファ...
-
サーバーでポート587番が開放で...
-
RH-Firewall-1-INPUTとは?
-
CentOS6.5のiptablesについて
-
ファイアウォールは必要?hosts...
-
chkconfig iptables --listって...
-
iptablesにてRDPが通らない。
-
iptablesでFTPのパッシブモード...
-
ポート番号の開放方法について
-
iptablesの設定でINPUTが制限さ...
-
iptablesが起動しない!?
-
iptablesの無効設定
-
sambaで使用するポートについて
-
iptablesを設定するとメール送...
-
iptablesのデフォルトの設定(#...
-
Choose the correct word(s) fo...
-
プログラムに別のPCからアクセ...
-
Linux環境で、UDP514ポートが開...
-
portmapについて
-
ファイアウォールとしてping of...
おすすめ情報