iptables

  • このトピックには1件の返信、1人の参加者があり、最後にt-isechiにより6年、 3ヶ月前に更新されました。
2件の投稿を表示中 - 1 - 2件目 (全2件中)
  • 投稿者
    投稿
  • #174
    t-isechi
    キーマスター

    # (1) ポリシーの設定 OUTPUTのみACCEPTにする
    *filter
    :INPUT DROP [0:0]
    :FORWARD DROP [0:0]
    :OUTPUT ACCEPT [0:0]

    # (2) ループバック(自分自身からの通信)を許可する
    -A INPUT -i lo -j ACCEPT

    # (3) データを持たないパケットの接続を破棄する
    -A INPUT -p tcp –tcp-flags ALL NONE -j DROP

    # (4) SYNflood攻撃と思われる接続を破棄する
    -A INPUT -p tcp ! –syn -m state –state NEW -j DROP

    # (5) ステルススキャンと思われる接続を破棄する
    -A INPUT -p tcp –tcp-flags ALL ALL -j DROP

    # (6) icmp(ping)の設定
    # hashlimitを使う
    # -m hashlimit hashlimitモジュールを使用する
    # —hashlimit-name t_icmp 記録するファイル名
    # —hashlimit 1/m リミット時には1分間に1パケットを上限とする
    # —hashlimit-burst 10 規定時間内に10パケット受信すればリミットを有効にする
    # —hashlimit-mode srcip ソースIPを元にアクセスを制限する
    # —hashlimit-htable-expire 120000 リミットの有効期間。単位はms
    -A INPUT -p icmp –icmp-type echo-request -m hashlimit –hashlimit-name t_icmp –hashlimit 1/m –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-htable-expire 120000 -j ACCEPT

    # (7) 確立済みの通信は、ポート番号に関係なく許可する
    -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT

    # (8) 任意へのDNSアクセスの戻りパケットを受け付ける
    -A INPUT -p udp –sport 53 -j ACCEPT

    # (9) SSHを許可する設定
    # hashlimitを使う
    # -m hashlimit hashlimitモジュールを使用する
    # —hashlimit-name t_sshd 記録するファイル名
    # —hashlimit 1/m リミット時には1分間に1パケットを上限とする
    # —hashlimit-burst 10 規定時間内に10パケット受信すればリミットを有効にする
    # —hashlimit-mode srcip ソースIPを元にアクセスを制限する
    # —hashlimit-htable-expire 120000 リミットの有効期間。単位はms
    -A INPUT -p tcp -m state –syn –state NEW –dport 22 -m hashlimit –hashlimit-name t_sshd –hashlimit 1/m –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-htable-expire 120000 -j ACCEPT

    # (10) 個別に許可するプロトコルとポートをここに書き込む。
    # この例では、HTTP(TCP 80)とHTTPS(TCP 443)を許可している。
    -A INPUT -p tcp –dport 80 -j ACCEPT
    -A INPUT -p tcp –dport 443 -j ACCEPT

    COMMIT

    #176
    t-isechi
    キーマスター
2件の投稿を表示中 - 1 - 2件目 (全2件中)
  • このトピックに返信するにはログインが必要です。
タイトルとURLをコピーしました