iptablesでセキュリティの設定（ファイアウォール）

今回はセキュリティの設定です。iptablesでファイアウォールの設定をし、ipv6を無効にします。

iptablesは難しくてよくわからないので、完全にググってコピっただけとなりましたmm

参考にさせていただいたのは、こちらのサイトとこちらのサイトです。さくらのVPS用の設定だったようですが、お名前のVPSでも問題ありませんでしたのでこのまま利用させていただきます。ありがとうございます！

というわけで、/etc/sysconfig/iptables を以下のように修正しました。

*filter
:INPUT   ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT  ACCEPT [0:0]
:RH-Firewall-1-INPUT – [0:0]

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp –dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# SSH, HTTP, HTTPS, SSH(22)-> delete after
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 10022 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22    -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80    -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 443   -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited

COMMIT

そして、ipv6は無効にします。

# /etc/init.d/ip6tables stop
# chkconfig ip6tables off

上記にプラスして、 /etc/modprobe.d/disable-ipv6.conf　このファイルに設定を追記すると書かれていたのですが、自分の環境ではこのファイルが無く、とくにいじりませんでした。

 

以下のコマンドで設定反映。エラーがでなければ OK です。

# /etc/rc.d/init.d/iptables restart

一応、設定を確認するコマンドは以下のようになります。

# /sbin/iptables –L

 

 

関連記事

新着記事