パケットのヘッダー部分を見て、 設定した条件(送信元IPアドレスや宛先IPアドレス、ポート番号など)と 一致するかどうかを判 定して、 一致する場合は設定したアクション(転送、破棄、アドレス書き換えなど)を 行うものである。
iptablesでサーバを守るときに知っておくと良いことを3つ紹介します 1. 接続回数を制限する(IPアドレスごと) hash_limitを使います これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です 例 2. 接続回数を制限する(サービスごと) limitを使って制限します これにより多数のホストからの攻撃、DDoS攻撃を緩和します limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。 (攻撃を受けている間は自分たちも制限されるため) Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか? 例 3. 接続IPアドレスを限定する IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります 例 あとはこんな感じのスク
Translation(s): English - Italiano- Español NOTE: iptables was replaced by nftables starting in Debian 10 Buster Iptables provides packet filtering, network address translation (NAT) and other packet mangling. Two of the most common uses of iptables is to provide firewall support and NAT. Configuring iptables manually is challenging for the uninitiated. Fortunately, there are many configuration to
ネットでググると古い記事が多いので、Debian Wikiを参考に簡単な方法を書いてみます。 aptitude install iptables iptables-persistent まず、iptablesとiptables-persistentをインストールします。 iptables-persistentは後で役立ってきます。 iptables -L 早速、現在の設定を見てみると Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destinationこのように空っぽの状態だと思い
#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
LinuxでIPマスカレードおよびパケットフィルタリングを実現するソフトウェアとしてipchains、iptablesがありますが、 カーネルバージョン2.4からiptablesがデフォルトで使用されるため今後使用されていくでしょう。 ipchainsとiptablesを同時に起動することはできません。まずipchainsがロードされているか確認します。 #lsmod を実行し、ipchainsがロードされているのであれば削除します。 #rmmod ipchains iptablesを使用するのであれば、ipchainsは必要ないので削除します。 #rpm -qa | grep ipchains #rpm -e ipchains 次にiptable_natをロードします。 #modprobe iptable_nat 次の3つのモジュールがロードされていればOKです。最後にipt
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く