綾小路龍之介の素人思考

[iptables] 22番ポートへのアクセスのみを許可

sshdをインストールしたことだしな。sshdの監視する22番ポートのみを空けよう。これでやっとディスプレイからおさらばできる。1行ごとに、ルールの削除、ユーザ定義チェインの削除、INPUTは基本的にDROP、OUTPUTは基本的にDROP、FORWORDは基本的にDROP、コネクションの確立されたパケットはACCEPT、22番ポートに入ってくるパケットの許可、22番からの出て行くパケットの許可、設定の保存、保存された設定で再起動、チェインとルールの確認。

# iptables -F
# iptables -X
# iptables -P INPUT   DROP
# iptables -P OUTPUT  DROP
# iptables -P FORWARD DROP
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
# /etc/init.d/iptables save
# /etc/init.d/iptables restart
# iptables -L

これでもいいが、このままだと、外に出れない。だから、apt-getとかできない。というか名前解決できないので、vinelinux.orgとかやってもシステムに理解されない。セキュリティを高めるという目的でiptables導入したのに、パッケージの更新ができないんじゃセキュリティホール有りで運用することになってしまうので、よろしくない。というわけでFORWARDとOUTPUTはACCEPTでもいいかもしれない。いやもちろん--dport 80とかすればいいんだけど。

ソーシャルブックマーク

  1. はてなブックマーク
  2. Google Bookmarks
  3. del.icio.us

ChangeLog

  1. Posted: 2008-09-15T10:49:40+09:00
  2. Modified: 2008-09-15T07:03:59+09:00
  3. Generated: 2017-04-27T23:09:18+09:00