iptablesの設定

こんにちは検証用サーバーにip制限をかけたいです、現在以下のような設定なのですが、設定してpingを打ってみるとどのIPでも疎通できてしまいます。

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  210.249.138.0/24     anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  210.249.138.0/24     anywhere            state NEW tcp dpt:mysql

質問
・IP制限をかけるにはこの設定以外にも、許可する210.249.138.0/24以外のIPを拒否する設定文を書かないといけないのでしょうか？
・そして設定の内容がまったく理解できません、iptablesなどが詳しく説明されているWebサイトなどあれば教えていただきたいです。

知識があまりにもなくて悲しいですが、どのたか教えていただければ幸いです。
よろしくお願いいたします。

行動規範の内容に同意します

回答2件

ベストアンサー

ICMP は 6行目のルールで接続元制限なく(すべてのホストから)許可されています。
ディストリビューションによって設定方法は異なると思いますが、RHEL/CentOS であれば、/etc/sysconfig/iptables ファイルに設定されていると思います。

/etc/sysconfig/iptables を直接編集するのであれば、以下のように「-s ネットワークアドレス」を追加します。
編集後、iptables サービスを再起動すると反映されます。

-A INPUT -p icmp -j ACCEPT
  ↓
-A INPUT -s 210.249.138.0/24 -p icmp -j ACCEPT

ちなみに、5行目の「ACCEPT all -- anywhere anywhere」はおそらく lo インターフェースだと思うので、そのままでいいです。
iptables -vL でインターフェース名を確認することができます。

投稿2017/11/17 13:27

TaichiYanagiya

総合スコア12146

haskins2341

2017/11/22 08:00

Taichiさんいつも回答ありがとうございます。ご指摘いただいた内容で書き換えてみたのですが、pingの疎通ができてしまいました。度々質問で申し訳ありませんが Chain INPUT (policy DROP 25 packets, 989 bytes) pkts bytes target prot opt in out source destination 27 2440 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 0 0 DROP tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 0 0 DROP tcp -- any any anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW 0 0 DROP tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG 0 0 ACCEPT all -- lo any anywhere anywhere 4 176 ACCEPT icmp -- any any anywhere anywhere 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http 0 0 ACCEPT tcp -- eth0 any 210.249.138.0/24 anywhere state NEW tcp dpt:ssh 0 0 ACCEPT tcp -- eth0 any 210.249.138.0/24 anywhere state NEW tcp dpt:mysql Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 25 packets, 2504 bytes) pkts bytes target prot opt in out source destination これがiptables -vLの内容です、。。。。 icmpが以下のようになっております。 4 176 ACCEPT icmp -- any any anywhere anywhere おそらく記載した内容が反映されてないとおもうのですが、、、、、そこでやっと質問なのですが・service iptables saveではiptablesの設定内容は反映されないのでしょうか、設定に必要なコマンドがあれば教えていただきたいです。・etc/init.d/iptablesとetc/sysconfig/iptablesのファイルは違いは何なのでしょうか。無知で申し訳ありませんが、何かわかればご教授くださいませ。よろしくお願いいたします。

TaichiYanagiya

2017/11/22 08:13

設定が反映されていませんね。設定手順は 2とおりあるかと思います。 (A) /etc/sysconfig/iptables を編集して、iptables 再起動(service iptables restart) (B) "iptables -R INPUT 6 -s 210.249.138.0/24 -p icmp -j ACCEPT" で現状のルール変更後、/etc/sysconfig/iptables に保存(service iptables save)

行動規範の内容に同意します

bash
1sudo iptables -A INPUT -p icmp -j DROP

このコマンドを実行してみたらどうでしょうか。

投稿2017/11/17 11:53

stmkza

総合スコア478

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

iptablesの設定

関連した質問