Hatena::ブログ(Diary)

Lazy Programmer :-p

 | 

2008-01-14

iptables 入門

メーカのルータは「あdソフィアjs歩ふぃjぱ」なので信用しない方がいいって、id:azurestoneさんに教えてもらったので、全裸でサーバのファイアー壁を設定する!

id:hideden id:vkgtaro id:azurestoneさんに教えてもらいながら iptables設定したよ!


# 全部不許可にする
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

# 初期化する
/sbin/iptables --flush
/sbin/iptables --delete-chain

# 自分自身を許可させる
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT


# spoofed?
/sbin/iptables -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP  "
/sbin/iptables -A INPUT -s 255.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP "
/sbin/iptables -A INPUT -s 0.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -s 172.16.0.0/12 -j LOG --log-prefix "Spoofed source IP "
/sbin/iptables -A INPUT -s 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -s 10.0.0.0/8 -j LOG --log-prefix "Spoofed source IP "
/sbin/iptables -A INPUT -s 10.0.0.0/8 -j DROP

# ステルススキャン?
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attempt "
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

/sbin/iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# port受け付けるよ
/sbin/iptables -A INPUT -p icmp -j ACCEPT 
/sbin/iptables -A INPUT -p tcp  -j ACCEPT --dport 80 -m state --state NEW


/sbin/iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# port使えるよ
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-request
/sbin/iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

service iptables save
chkconfig iptables on

/etc/sysconfig/syslog

#KLOGD_OPTIONS="-x"
KLOGD_OPTIONS="-x -c 1"

/etc/syslog.conf

#kern.*                         /dev/console
kern.*                          /var/log/kern
service syslog restart

/etc/logrotate.d/syslog

 /var/log/cron /var/log/kern{ # <- 追加

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/tomyhero/20080114/1200280608
 |