Linuxまわり のバックアップソース(No.1) :: Nest Of Hawk

• 差分^[1] を表示
• 現在との差分^[2] を表示
• Linuxまわり^[3] へ行く。

[[Gentoo Linuxな生活/システム管理関連]]

*iptablesで保護 [#xdcb7c01]
アクセスコントロールをかけて、保護をしてやるとです。もっとも…うちでどんなんかけてるかは公開は出来ませんけどね。こういう機能を利用してますよ、ということで。

**インストール [#a85e21d4]
 # emerge iptables
 # etc-update add iptables default

iptablesのコマンドをインストールして、起動時にiptablesが有効になるようにしてやるとですね。

**設定例 [#x3bd5f67]
iptablesにはいろんな機能がありますが、私は、ステートフルパケットフィルタってのを使用しています。SYNFloodとかを防止できるわけね。

例で、$trusthostっていうホストからのsshは透過して、それ以外のパケットアクセスがあったら、ログに出力してパケット落とした事を分かるようにします。

 #新規接続におけるTCP SYN以外のパケットは落とす
 iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
 #新規接続、接続済みのSSHで、$trusthostからのパケットは通す
 iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s $trusthost --dport 22 -j ACCEPT
 #新規接続、接続済みのSSHで、$trusthostへのパケットは通す
 iptables -A OUTPUT -p tcp -s $myhost --sport 22 -d $trusthost -j ACCEPT

 #LOGGINGグループを新規定義
 iptables -N LOGGING
 #limitに達した回数パケットがヒットした場合は、DROP:ってプレフィックスつけてログ出力の上でパケットをドロップ
 iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit
 iptables -A LOGGING -j DROP
 #INPUTルールに引っかからなかったらLOGGINGへ
 iptables -A INPUT -j LOGGING
 #OUTPUTルールに引っかからなかったらLOGGINGへ
 iptables -A OUTPUT -j LOGGING

どうでしょう。分かりました?他にもいろいろ組み合わせられますよ。DoS攻撃を封じるとか、QoSを設定してみるとか、いろいろできます。なお、iptablesルールは線形検索です。上から探して行って、ヒットしたルールがあると、そこで基本的にルール探索は終わり。パケットを通過するか落とすか決めて処理が終わります。なので、設定したつもりのルールが、動いていないような錯覚に陥る場合は、この辺を勘違いしている場合がおおい。また、よくヒットするルールを前に置いておかないと、通信速度が極端に低下しますから、ルールの設定には気をつけてね!!

• Linuxまわり のバックアップ一覧^[5]
• Linuxまわり のバックアップソース(No. All)
  • 1: 2009-10-19 (月) 23:24:49 maruo^[6]
  • 現: 2009-10-19 (月) 23:27:31^[7] maruo^[6]