iptablesの設定方法
ファイアフォール機能であるiptablesは、サーバへ接続させる通信のルールを設定できます。
このページでは、簡易的な設定を一例として紹介します。
注意事項
- iptablesの設定内容は、サーバへの攻撃対策方法やお客様の利用用途により多岐にわたり、
このページに紹介する設定の限りではありません。 - このページは、あくまでも参考としてご覧いただき、実際の設定は、お客様にてサーバへの攻撃対策方法や
ご利用用途をご確認のうえ追加での対策設定などを、各種参考書籍をもとに行ってください。
前提条件
- さくらのVPSの標準OSがインストールされているサーバが対象です。
- その他のOSでの設定は、各OSのマニュアルをご確認ください。
- iptables以外にもセキュリティ対策を行ってください。
iptabelsの設定
VPSにログイン
リモートコンソールやターミナルソフトなどを利用してroot権限を持ったユーザでVPSにログインします。
※ここでは、rootでログインした場合で説明します。
設定の確認
iptablesの設定を確認します。
| # iptables -L |
特にルールは記載されていないため、ルールを設定します。
ルールの設定
ルールの設定について
外部からの不正アクセスに対してサーバを保護するため、最も一般的な攻撃を遮断するようにファイアウォールルールを
追加することが出来ます。
本格的なDDoS攻撃等に対してiptablesのみによる防衛では不十分ですが、ネットワークをスキャンしてセキュリティホールを
突くボットの被害にあうことを先送りにすることができます。
サーバへの攻撃対策のルールを設定します。
| # iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP ------①
# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP ------② # iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP ------③ |
※上記はあくまで参考の設定例です。設定例として記載したルールは以下の内容です。
①データを持たないパケットの接続を破棄する
②SYNflood攻撃と思われる接続を破棄する
③ステルススキャンと思われる接続を破棄する
許可する通信の設定
localhostからの通信とpingを許可に設定します。
| # iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p icmp -j ACCEPT |
サーバの利用用途に合わせて許可するポート番号を設定します。
| # iptables -A INPUT -p tcp -m tcp --dport ** -j ACCEPT |
※「**」は、許可するポート番号です。
[参考]
主なポート番号は以下の通りです。
| プロトコル | ポート番号 |
|---|---|
| HTTP | 80 |
| HTTP(SSL) | 443 |
| SMTP | 25 |
| SMTP(SSL) | 465 |
| POP3 | 110 |
| POP3(SSL) | 995 |
| IMAP | 143 |
| IMAP(SSL) | 993 |
| SSH | 22 |
※ポート番号を変更している場合は、この限りではありません。
確立済みの通信を許可に設定します。
| # iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
許可した通信以外のサーバに受信するパケットを拒否し、サーバから送信するパケットを許可に設定します。
| # iptables -P INPUT DROP
# iptables -P OUTPUT ACCEPT |
iptablesの設定を設定ファイルに保存します。
| # service iptables save |
設定の確認
iptablesの設定ファイルに設定が記載されているか確認します。
| # cat /etc/sysconfig/iptables |
iptablesの設定を確認します。
| # iptables -L |
ルールが設定されていれば、「iptablesの設定」は完了です。
疑問点・問題点は解決しましたか?
評価をクリックいただきありがとうございました。
あわせてページに対する意見・ご要望がございましたら下記にご記入ください。
サポート情報充実のための参考にさせていただきます。
<ご記入の際の注意事項>
・住所、氏名、電話番号などの個人情報の記入はご遠慮ください。
・ご記入の内容につきましては個別にお答えしておりません。
回答が必要な場合はカスタマーセンターへお問い合わせください。
あわせてページに対する意見・ご要望がございましたら下記にご記入ください。
サポート情報充実のための参考にさせていただきます。
<ご記入の際の注意事項>
・住所、氏名、電話番号などの個人情報の記入はご遠慮ください。
・ご記入の内容につきましては個別にお答えしておりません。
回答が必要な場合はカスタマーセンターへお問い合わせください。
関連する情報
カテゴリ情報
検索
1
