2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【鉄壁】iptablesの使い方 4【ファイアウォール】

1 :login:Penguin:2010/05/05(水) 20:42:31 ID:bj5TRCij
iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
【鉄壁】iptablesの使い方 3【ファイアウォール】
http://pc11.2ch.net/test/read.cgi/linux/1136593433/

過去スレ
おい、iptablesの使い方を(ry その2
http://pc8.2ch.net/test/read.cgi/linux/1079277604/

おい、iptablesの使い方を具体的に詳しく教えろ!
http://pc.2ch.net/test/read.cgi/linux/1000817457/

2 :login:Penguin:2010/05/06(木) 01:31:51 ID:cVSszDP3
ume

3 :login:Penguin:2010/05/06(木) 17:54:35 ID:MWySx+yN
すみませんが初心者的な質問させて下さい。
ネットで検索したものを参考に、
#! /bin/sh
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
/sbin/iptables -N LOGGING
/sbin/iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit
/sbin/iptables -A LOGGING -j DROP
/sbin/iptables -A INPUT -j LOGGING
というスクリプトを作り、実行したところインターネットに繋がらなくなりました。
少しはiptablesについて学習したつもりだったのですが、全然だったようです。
この場合、インターネット(Opera)を使用するにはどのように変更すればいいのでしょうか?
80番ポート開放でいいのかと短絡的に思っていたのですが。
iptables -P INPUT ACCEPTとかすればいいのでしょうが、全てを開放するのではなく、インターネット、ICMP、SSH、とかある程度のセキュリティを持たせながらネットに繋がればと思っています。

4 :login:Penguin:2010/05/07(金) 00:58:31 ID:FPtXLkhM
>>3
OUTPUTでdport80をACCEPTにすればいいんじゃねーの?

そんなことより、ルータを買ってくる方が余っ程安全。

5 :3:2010/05/07(金) 16:43:36 ID:mCXYHrmJ
>OUTPUTでdport80をACCEPTにすればいい

自分にはこの意味がよくわからなかったのですが、まずOUTPUTをDROPして、その後
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
でACCEPTすればいいのかと思ったのですが、これでうまくいきませんでした

簡略的に
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
として実行したのですが、それでもインターネットに繋がりませんでした
いったい何が悪かったのでしょうか?


ルータは検討してみます


6 :3:2010/05/07(金) 16:45:10 ID:mCXYHrmJ
あっ、/sbin/iptables -Lでは以下のように出ました

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:http

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:http


7 :3:2010/05/07(金) 16:54:33 ID:mCXYHrmJ
連投本当に申し訳ないです
>>4さんはOUTPUTを--dportと書いておりますね
勝手に--sportと読み間違えておりました

8 :login:Penguin:2010/05/08(土) 01:05:06 ID:IgFkRh3i
超やっつけ。>>3よりは見やすいと思う。
/sbin/iptables -P FORWARD DROP まで省略。

# INPUT チェイン
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -j LOG --log-level warning --log-prefix "DROP_INPUT:" -m limit
/sbin/iptables -A INPUT -j DROP

# OUTPUT チェイン
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -j LOG --log-level warning --log-prefix "DROP_OUTPUT:" -m limit
/sbin/iptables -A OUTPUT -j DROP

9 :login:Penguin:2010/05/09(日) 02:28:38 ID:hFzVH90S
OUTPUTくらいは全部ACCEPTしてもいいんじゃない?なんでそんなにガチガチにするの?

10 :login:Penguin:2010/05/09(日) 07:25:30 ID:Mhb3GHR8
それは3の人の勝手だと思うが、まずは自分が必要だと思う物以外はDROPしたいんじゃね?
勉強を始めたばかりみたいだし。

11 :login:Penguin:2010/05/09(日) 12:11:54 ID:26yw80sJ
俺も>>9に同意。
目的が勉強なのか実用なのかで違ってくるとは思うが。

http://tlec.linux.or.jp/docs/iptables.html
>iptables を理解しないままに設定し始める方の多くが、
>「デフォルトは DROP にすべきである」という言葉だけを取って、
>OUTPUT チェインのデフォルトルールを DROP に設定してしまい、
>通信が出来なくなってしまう等のトラブルを経験するようですので、
>注意して下さい。

12 :login:Penguin:2010/05/09(日) 18:11:50 ID:1isFj6hn
私は勉強し始めは全部DROPにしてログを確認しながら一つずつ許可していった。
最初はルールの数もしれたものだし。

>通信が出来なくなってしまう等のトラブルを経験する
そんな注意書きがあるくらいだから、人によるのかもしれないけど、経験してもいいと思う。
ログを見れば分かるし、見る癖もつく。自分の場合はそれが勉強になってます。
まぁ、個人の考え方次第だとは思います。

>>3の欠点の一つは制限しているのにOUTPUTのログをとってないことかな。>>8はとっているけど。
とっていたら、ここに書き込む前に、許可していないことに気付けたかもしれない。

8 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)