1: 2009-10-19 (Mon) 23:24:49 maruo source
Line 1: Line 1:
 +[[Gentoo Linuxな生活/システム管理関連]]
 +*iptablesで保護 [#xdcb7c01]
 +アクセスコントロールをかけて、保護をしてやるとです。もっとも…うちでどんなんかけてるかは公開は出来ませんけどね。こういう機能を利用してますよ、ということで。
 +
 +**インストール [#a85e21d4]
 + # emerge iptables
 + # etc-update add iptables default
 +
 +iptablesのコマンドをインストールして、起動時にiptablesが有効になるようにしてやるとですね。
 +
 +**設定例 [#x3bd5f67]
 +iptablesにはいろんな機能がありますが、私は、ステートフルパケットフィルタってのを使用しています。SYNFloodとかを防止できるわけね。
 +
 +例で、$trusthostっていうホストからのsshは透過して、それ以外のパケットアクセスがあったら、ログに出力してパケット落とした事を分かるようにします。
 +
 + #新規接続におけるTCP SYN以外のパケットは落とす
 + iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
 + #新規接続、接続済みのSSHで、$trusthostからのパケットは通す
 + iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s $trusthost --dport 22 -j ACCEPT
 + #新規接続、接続済みのSSHで、$trusthostへのパケットは通す
 + iptables -A OUTPUT -p tcp -s $myhost --sport 22 -d $trusthost -j ACCEPT
 +
 + #LOGGINGグループを新規定義
 + iptables -N LOGGING
 + #limitに達した回数パケットがヒットした場合は、DROP:ってプレフィックスつけてログ出力の上でパケットをドロップ
 + iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit
 + iptables -A LOGGING -j DROP
 + #INPUTルールに引っかからなかったらLOGGINGへ
 + iptables -A INPUT -j LOGGING
 + #OUTPUTルールに引っかからなかったらLOGGINGへ
 + iptables -A OUTPUT -j LOGGING
 +
 +どうでしょう。分かりました?他にもいろいろ組み合わせられますよ。DoS攻撃を封じるとか、QoSを設定してみるとか、いろいろできます。なお、iptablesルールは線形検索です。上から探して行って、ヒットしたルールがあると、そこで基本的にルール探索は終わり。パケットを通過するか落とすか決めて処理が終わります。なので、設定したつもりのルールが、動いていないような錯覚に陥る場合は、この辺を勘違いしている場合がおおい。また、よくヒットするルールを前に置いておかないと、通信速度が極端に低下しますから、ルールの設定には気をつけてね!!


Front page   Diff Backup Copy Rename ReloadPrint View   New Page Page list Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom) Powered by xpWiki
Counter: 2624, today: 2, yesterday: 1
ページ内検索

ログイン

ユーザー名:


パスワード:





パスワード紛失

メインメニュー

サブメニュー
自宅鯖計画

Gentoo Linuxな生活

玄箱HGにGentoo格闘記

航空ショーへ行こう

モータースポーツな世界

奥深き写真の世界への誘い

我思う ゆえに我あり



携帯用QRコード