iptablesでセキュリティーアップ(準備)

04/01/13

カーネル2.4を入れたのも実は「iptables」をやりたかったから。w

というわけで早速やってみました。

Wibminで設定できるらしいのですが、どういうわけかディフォルトではうまくいかない!
ので、ターミナルを立ち上げて、そちらで設定していく事にします。
ipchains」を使った事があれば、「iptables」もさほど難しくないと思います。が、けっこう文法は変わったようです。
で、この「iptables」は「ipchains」があるとうまく動作しないらしいので、「ipchains」のほうは、「Webmin」の「パッケージの管理」から削除しちゃいましょう。(VineLinuxでは、両方インストールされる。)

いろいろなサイトを見回ると、「iptables」を起動させるにはモジュールを用意するということが書いてありますが、「VineLinux」ではディフォルトで用意されているようです。
ので、ターミナルから規則を設定させるために

# -A INPUT -s 192.168.1.3 -d 192.168.1.2 -i eth0 -p tcp -m tcp --dport 80 -j DROP

と、打ち込みます。一応今打ち込んだ内容は、「この設定を一番最後に加えます。ネットワークカードeth0に入ってくるパケットで198.163.1.3から192.168.1.2の方向でのものでtcpに関して80番ポートのものを拒否します」という意味なのですが、エンターキーを押した時点で有効になるようです。この設定を保存します。(これにより、192.168.1.3から192.168.1.2への80ポートへのTCPによるアクセスが禁止されます。よって、あとでこの行を消去してください。)

# /etc/init.d/iptables save
現在のルールを/etc/sysconfig/iptablesに保存中: [ OK ]

上の操作は、先ほど入力した規則を設定ファイルに反映させなさいということなのですが、後々いろいろ設定した場合は、「iptables」を再起動させる前にこの設定ファイルに反映させるという作業を行ってください。

以上の作業により「/etc/sysconfig/iptables」に今打ち込んだ規則が追加されます。

ipchains」のときは、この操作によって出来上がった設定ファイル「/etc/sysconfin/iptables」を開いて、規則を好きなように付け加えていけばよかったのですが、「iptables」の場合は、基本的に直接設定ファイルをいじってはいけないようです(熟練者を除くらしいのですが・・・)。
なので、一度すべて規則をノートに記述しておき、それをターミナルにより打ち込む。という操作を行ってください。

/etc/sysconfig/iptables」に書き込むときは、

*filter
:INPUT ACCEPT [4254:1217]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [232:140994]

COMMIT

の間に記述しないとうまく作動しないようです。

<Pre Next>
■目次

swatchの導入

侵入者検知システム(Vineデフォルト)

侵入者検知システム(最新版)

inedデーモン(SSHの登録)

肥大化するログを分割

デーモンが停止したらメールを送る

ログの見方と監視

ipchainsに挑戦

TCP/IPを詳しく

内部時計の自動設定

■予定

VineでPHPを使うには

PHPAのインストール

SSLのチューニング

■最近観た映画3

 

■ここがサブタイトル