iptablesを有効にすると、サーバが公開しているウエブページの閲覧がローカル、外部ドメインともにできません。内部名前解決もできなくなってしまいます。メールもローカル、外部ドメインからも送受信できなくなります。 無効にすると、全て問題なく動作します。
iptables無効状態ではHTTP:80、HTTPS:443 SMTP:25/587、POP3:110/995、IMAP:143/993 は外部からポートスキャンで、アクセスできましたとなります。 iptablesを有効にすると、どのポート番号もポートスキャンで、アクセスできませんとなります。設定は下記のとおりです。有効状態で唯一、22番だけポートスキャンで成功します。 何がいけないのでしょうか。よろしくお願いします。
環境:CentOS6.2 、1台のサーバでApache,Bind,Postfix/Dovecot が稼動中です。
[root@hogehoge ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Jun 12 22:39:14 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [24:2320]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A INPUT -j LOG --log-prefix "[iptables] " --log-level 6
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Tue Jun 12 22:39:14 2012
No.2ベストアンサー
- 回答日時:
お書きの定義とお書きの現象はマッチしてますので、定義通り動作をしていると言えます。
-A INPUT -j REJECT --reject-with icmp-host-prohibited
のうしろにいくら
-A INPUT
を書いても、この行でリジェクトされるので効果を出しません。
おそらくは、定義が前から順番に適用されるということをご存じないのかと思います。
ご回答いただき、ありがとうございます。おっしゃるとおりに設定したところ、解決しました。定義が前から評価されることは知りませんでした。 勉強になりました。下記の設定でうまく動作しました。
[root@hogehoge sysconfig]# cat iptables
# Generated by iptables-save v1.4.7 on Tue Jun 12 22:39:14 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [24:2320]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 23522 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A INPUT -j LOG --log-prefix "[iptables] " --log-level 6
COMMIT
No.1
- 回答日時:
>有効状態で唯一、22番だけポートスキャンで成功します。
設定の上から順番に評価していきます。
>-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
で22番は許可します。
# ちなみに外部向けなら22番はやめておいた方がいいです。
>iptablesを有効にすると、どのポート番号もポートスキャンで、アクセスできませんとなります。
繰り返しますが…「上から評価」されます。
>-A INPUT -j REJECT --reject-with icmp-host-prohibited
で指定通りにリジェクトされて、INPUTチェーンの残りは評価されません。
ご回答、ありがとうございます。
この行を、一番下に持っていって、うまく動作するようになりました。
>-A INPUT -j REJECT --reject-with icmp-host-prohibited
SSH接続は公開鍵、秘密鍵を作成して、クライアントは秘密鍵がないと接続できないようにしています。だから絶対大丈夫とは言えませんが、外部からSSH接続が不要になったらポートを閉ようと思っています。
ありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- UNIX・Linux iptablesを設定するとメール送信処理が遅くなる!? 6 2022/06/07 01:11
- UNIX・Linux Ubuntuサーバーでメールを受信できない 7 2022/08/23 20:55
- HTML・CSS CSSが効かずどのように指定すれば良いか分からないのでアドバイスお願い致します 2 2023/06/07 12:25
- CGI htmlからパラメータで、cgiに渡したい。 1 2023/02/06 16:15
- PHP PHP MySql 画像を取得 1 2022/06/04 14:05
- JavaScript clear機能を失わずにファイルアップロード機能を作成したい 3 2023/06/10 16:12
- JavaScript アップロードファイルの種類によって処理を分岐させたいのですが書き方が分からずアドバイスお願いします 4 2023/06/17 19:12
- PHP PHP MySQLに画像を直接保存 2 2022/06/05 11:50
- ファイアウォール ポート開放で利用可能なTCP一覧の中に利用したいTCPが入ってない場合どうすればいいのでしょうか? 2 2022/09/12 10:31
- ルーター・ネットワーク機器 YAMAHAルータ設定について 1 2022/09/03 16:31
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
CentOS6.5のiptablesについて
-
scpコマンドでサーバー間のファ...
-
chkconfig iptables --listって...
-
Choose the correct word(s) fo...
-
エラーメールで"too many hops"...
-
AWSでSSH接続をしたいのですが...
-
パスワード設定していないユー...
-
マネージャ・エージェントモデ...
-
リモートデスクトップ接続でパ...
-
DNSサーバを設定したのですがns...
-
【DNS】ゾーン情報が上手く設定...
-
メールボックスがいっぱいにな...
-
ドメインに参加しようとするとD...
-
.NETでActiveXコントロールを使う
-
PHP5.2.9インストール時に、 Or...
-
Thunderbird) 送信したメールが...
-
エクセルで#N/Aを含めた平均値...
-
同一のホスト名で何か問題があ...
-
【QnapNAS】不良HDDと診断され...
-
FedoraCore6を使用し、PostFix...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
chkconfig iptables --listって...
-
scpコマンドでサーバー間のファ...
-
サーバーでポート587番が開放で...
-
iptablesとipchainsの違い
-
CentOS7firewall-cmdでESP許可
-
sambaで使用するポートについて
-
iptablesを設定するとメール送...
-
iptablesの設定がうまく反映さ...
-
linuxのルーティング処理
-
LINUXのiptablesについて
-
vsftpdで動的IP制限をかけたい
-
さくらVPSのVPNサーバーの設定...
-
iptablesを設定するとメールが...
-
DMZのLinuxサーバでメールとFTP...
-
sshでリモートアクセス
-
iptablesについて
-
Linux環境で、UDP514ポートが開...
-
ローカル環境でwebサーバーにつ...
-
iptablesにてRDPが通らない。
-
iptablesを使用してのDNSゾーン...
おすすめ情報