iptablesで鉄壁？の守りを実現する3つのTips｜TechRacho by BPS株式会社

iptablesでサーバを守るときに知っておくと良いことを3つ紹介します 1. 接続回数を制限する(IPアドレスごと) hash_limitを使います これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です 例 2. 接続回数を制限する(サービスごと) limitを使って制限します これにより多数のホストからの攻撃、DDoS攻撃を緩和します limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。 （攻撃を受けている間は自分たちも制限されるため） Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか？ 例 3. 接続IPアドレスを限定する IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります 例 あとはこんな感じのスク

[yblogs]

iptablesにおける、サーバーを安全に運用するための日常的防御設定

[honeniq]

実際、国別で特定の何カ国だけ弾くだけで、ポートスキャン的なアクセスはかなり減る。

[t_motooka]

外国からのSSHを遮断するのは重要。特に中国と韓国。これは政治的な話じゃなくて、(今は知らんけど数年前は)本当に攻撃が多かったから。可能であればSSHはホワイトリスト型のIPアドレス制限をかけたいところ。

[tmatsuu]

1のhashlimitはRHEL4で使えなくて昔死んだ。3のiptables.plはallocatedだけでなくassignedも紐付けたほうがいいかも。あと思わぬ海外出張でしまったアクセスできない！ってオチに気をつけて！

[tvsk]

日本語のまとめ記事

[ftnk]

Linux, network, iptables

[redhornet96]

これは使える

[John_Kawanishi]

http://bit.ly/10XKVTs①接続回数を制限する(IPアドレスごと)→hash_limit②接続回数を制限する(サービスごと)→limit③接続IPアドレスを限定する→User定義chainで

[USAGI-WRP]

[GNU/Linux][iptables][tips][starter][security][how to]

[luccafort]

言わんとすることはわからんでもないが韓国/中国のSSHは遮断するだろ、JK。

[yoshitabh5d]

iptablesで鉄壁？の守りを実現する3つのTips

[atrandom2520]

ここに書くべきことでもないが、firewallのメタファーっていまだに耐火レンガなんだな。

[ngyuki]

recent より hashlimit の方が良さそう

[C_L]

APNICのIP割当公開データから日本のIP範囲特定してホワイトリスト作る/サーバによってはテーブル数に限りがあるので注意

[fakufaku]

これは助かる。iptables で、例えばアクセス元として日本だけを許す方法とか書いてある。

[george_tsubota]

CentOSなどでネット上に公開するサーバを構築する際に参考とする。

[azumakuniyuki]

3. 国を限定するとGooglebotからのアクセスとかGmailでメール取り出す場合にいろいろ面倒。

[susanne]

これやろー

[anakahala]

参考させていただく

[TacoS]

接続回数を制限する(IPアドレスごと)、接続回数を制限する(サービスごと)、接続IPアドレスを限定する。iptablesの設定て煩雑で苦手だなぁ

[shinnosukee]

iptablesで鉄壁？の守りを実現する3つのTips | TechRacho

[unarist]

接続回数の制限、IPアドレスの制限

[bynn_chapu]

そんな技があったのか

[dokodajp]

iptablesで鉄壁？の守りを実現する3つのTips | TechRacho

[siteworkers]

参考になりますね

[barlog]

hash_limit

[nakag0711]

sshはポート変更が基本かと

[new3]

簡単だけど、重要な3点

[tsunem]

fail2banとかと同じ感じ？

[yaasita]

Linux,iptables