iptableコマンドを使ってファイアーフォール

現在、ファイアーフォール構築するようにいわれました。
ポート番号で、http https dns を開け、後は、dropにしました。
しかし、それでは、セキュリティ上問題あるということで、（勉強という意味を込めて）よりセキュリティの高い設定をするよういわれました。

まず、特定の国のIPアドレスは拒否するようにいわれました。
他に、IPアドレスで、特定のものを拒否、もしくは、受入るとしたら、どんなものがあるでしょうか？


教えてください。

No.1 ベストアンサー 回答者： xjd 回答日時： 2006/05/25 22:32

＞よりセキュリティの高い設定をするよういわれました。

＞特定の国のIPアドレスは拒否するようにいわれました。

こんばんは。
うちでもiptablesでファイアウォールを構築しています。
接続元IPアドレス以外にも、以下のようなポリシーで接続拒否をしています。
参考にしてください。


SynFlood攻撃をリミットバーストで拒否（ログにも記録）
-m limit --limit 1/s --limit-burst 10 -j LOG --log-level=1 --log-prefix '## SYNFLOOD ## '

不正なTCPフラグの組み合わさったパケットを拒否
-p tcp --tcp-flags ACK,FIN FIN
-p tcp --tcp-flags ACK,PSH PSH
-p tcp --tcp-flags ACK,URG URG
など、他に10種類ほどの不正フラグの組み合わせパケットを拒否

外部からのIPスプーフィングを拒否
-i $WANPORT -s $INNERLAN -j DROP

Authリクエストの拒否
-p tcp --dport 113 -j REJECT --reject-with tcp-reset