iptables

/ LPIC / Comment[0]

セキュリティ


外部からの攻撃に対するセキュリティを高める

・必要なソフトウェアのみをインストールし、不要なプログラムを起動しない
ソフトウェアには脆弱性は付き物。どのソフトウェアにどんな脆弱性があるかは分からない。なのでリスクを少しでも軽減するために不要なプログラムはインストール・起動しない

・ホストレベルの適切なアクセス制御を行う

・パケットフィルタリングによりアクセスを制限する

・セキュリティ情報を常に確認し、必要があれば対策する
CERT/CC(Computer Emergency Response Team/Coordination Center)
セキュリティの専門家から構成される組織であり、セキュリティに関する情報を常に発信している。

CERT/CC
JPCERT/CC


内部からの攻撃に対するセキュリティを高める

・適切なパスワード管理

・SUIDなどの特殊な権限を設定するプログラムは最小限にする。

・定期的にアクセス権のチェックをする



iptables

Linuxカーネルでは、デフォルトでパケットフィルタリング機能を搭載している。
パケットフィルタリングを利用するには、netfilterを使う

チェインとは、パケットを検査するための一連のルールのこと。

Linuxカーネルが持っているチェイン
INPUT
OUTPUT
FORWARD


ネットワークインターフェイスを通過するパケットはそれぞれのチェインのルールに適合するかどうか検査され、そのパケットの通過を許可か破棄を判断している。


iptables

# iptables オプション チェイン {ルール,ターゲット}

オプション
-A ルールを追加
-D チェインからルールを削除
-P<チェイン><ターゲット> チェインのポリシーを変更
-L ルールのリストを表示

チェイン
INPUT 入力パケット
OUTPUT 出力パケット
FORWARD 転送パケット

ルール
-s 転送元のIPアドレスを指定
-d 転送先のIPアドレスを指定
--sport 送信元のポート番号を指定
--dport 送信先のポート番号を指定
-j ターゲットを指定
-p プロトコルを指定
-i インターフェイスを指定

ターゲット
ACCEPT 許可
DROP 破棄
REJECT 拒否


韓国からの(210.108.0.0/16)パケットを破棄するルールを設定
# iptables -A INPUT -s 210.108.0.0/16 -j DROP
ルールを削除
# iptables -D INPUT -s 210.108.0.0/16 -j DROP

80ポートのTCPパケットを許可するルールを定義
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

コメント

:
:
:
:
:
管理人のみ表示を許可