質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.45%

  • Linux

    4538questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • CentOS

    3219questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • firewalld

    33questions

firefalld(ダイレクト設定)とzone設定の優先順位と是非

受付中

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 789

tourisugari

score 0

質問

ネットでゴリゴリ調べ間違っていると思う箇所は修正し、切り貼りした以下のシェルスクリプトを用いてfirefalldフィルタリングを設定しました。

ですがfirefalldのpublicゾーンにはすでに
services: ssh dhcpv6-client https http mysql
と特定のポートを開くという設定がされています。

このような時にzone設定とダイレクト設定はどちらが優先されるのでしょうか?
現在はどちらも適応されると考えて以下のようにダイレクト設定では特段ポートの設定をしていません。パブリックゾーンの設定が活きる為、そもそもすべてのポートは閉じている所から始まっていると思っています。

また、ipv4とipv6どちらにも対策をしたいのですべてに二通りの書き方をしています。
文字数制限のため以下ではipv4版しか書いていませんがまったく同じもののipv6版が書かれているイメージです。

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 100 -i eth0 -p tcp --syn -j syn-flood
firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 100 -i eth0 -p tcp --syn -j syn-flood

のようにです。

しかしいまいち冗長な感じがしております。なにか良い書き方を知っている人は教えていただけると嬉しいです。

設定したシェルスクリプト

#!/usr/bin/bash

######syn-flood:DROP######
firewall-cmd --permanent --direct --add-chain ipv4 filter syn-flood
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 100 -i eth0 -p tcp --syn -j syn-flood
firewall-cmd --permanent --direct --add-rule ipv4 filter syn-flood 150 -m hashlimit --hashlimit 200/s --hashlimit-burst 3 --hashlimit-htable-expire 120000 --hashlimit-mode srcip --hashlimit-name t_syn_flood -j RETURN
firewall-cmd --permanent --direct --add-rule ipv4 filter syn-flood 151 -j LOG --log-prefix "IPTABLES SYN-FLOOD:"
firewall-cmd --permanent --direct --add-rule ipv4 filter syn-flood 152 -j DROP

######Make sure NEW tcp connections are SYN packets:DROP#####
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 200 -i eth0 -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "IPTABLES SYN-FLOOD:"
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 201 -p tcp ! --syn -m state --state NEW -j DROP

######ping of death:DROP######
firewall-cmd --permanent --direct --add-chain ipv4 filter ping-death
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 300 -i eth0 -p icmp --icmp-type echo-request -j ping-death
firewall-cmd --permanent --direct --add-rule ipv4 filter ping-death 350 -m hashlimit --hashlimit 1/s --hashlimit-burst 10 --hashlimit-htable-expire 120000 --hashlimit-mode srcip --hashlimit-name t_ping_death -j RETURN
firewall-cmd --permanent --direct --add-rule ipv4 filter ping-death 351 -j LOG --log-prefix "IPTABLES PING-DEATH:"
firewall-cmd --permanent --direct --add-rule ipv4 filter ping-death 352 -j DROP

# http_dos_attack
firewall-cmd --permanent --direct --add-chain ipv4 filter HTTP_DOS
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 360 -i eth0 -p tcp -m multiport --dports 443,80 -j HTTP_DOS
firewall-cmd --permanent --direct --add-rule ipv4 filter HTTP_DOS 361 -m hashlimit --hashlimit 1/s --hashlimit-burst 50 --hashlimit-htable-expire 120000 --hashlimit-mode srcip --hashlimit-name t_HTTP_DOS -j RETURN
firewall-cmd --permanent --direct --add-rule ipv4 filter HTTP_DOS 362 -j LOG --log-prefix "http_dos_attack:"
firewall-cmd --permanent --direct --add-rule ipv4 filter HTTP_DOS 363 -j DROP

# 攻撃対策: Stealth Scan
firewall-cmd --permanent --direct --add-chain ipv4 filter STEALTH_SCAN
firewall-cmd --permanent --direct --add-rule ipv4 filter STEALTH_SCAN 400 -j LOG --log-prefix "stealth_scan_attack:"
firewall-cmd --permanent --direct --add-rule ipv4 filter STEALTH_SCAN 410 -j DROP

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 420 -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j STEALTH_SCAN
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 421 -p tcp --tcp-flags ALL NONE -j STEALTH_SCAN
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 422 -p tcp --tcp-flags SYN,FIN SYN,FIN         -j STEALTH_SCAN
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 423 -p tcp --tcp-flags SYN,RST SYN,RST         -j STEALTH_SCAN
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 424 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j STEALTH_SCAN
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 425 -p tcp --tcp-flags FIN,RST FIN,RST -j STEALTH_SCAN
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 426 -p tcp --tcp-flags ACK,FIN FIN     -j STEALTH_SCAN
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 427 -p tcp --tcp-flags ACK,PSH PSH     -j STEALTH_SCAN
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 428 -p tcp --tcp-flags ACK,URG URG     -j STEALTH_SCAN

######spoofing:DROP######
firewall-cmd --permanent --direct --add-chain ipv4 filter spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 500 -i eth0 -s 127.0.0.0/8 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 501 -i eth0 -d 127.0.0.0/8 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 502 -i eth0 -s 10.0.0.0/8 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 503 -i eth0 -s 172.16.0.0/12 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 504 -i eth0 -s 192.168.0.0/16 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 505 -i eth0 -s 192.0.2.0/24 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 506 -i eth0 -s 169.254.0.0/16 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 507 -i eth0 -s 224.0.0.0/4 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 508 -i eth0 -s 240.0.0.0/5 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 509 -i eth0 -s 0.0.0.0/8 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 510 -i eth0 -s 255.255.255.255 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 511 -i eth0 -s 333.333.333.210 -j spoofing
firewall-cmd --permanent --direct --add-rule ipv4 filter spoofing 550 -j LOG --log-prefix "IPTABLES SPOOFING:"
firewall-cmd --permanent --direct --add-rule ipv4 filter spoofing 551 -j DROP

######win FORWARDING######
firewall-cmd --permanent --direct --add-chain ipv4 filter win
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 600 -p tcp -m multiport --sports 135,137,138,139,445 -j win
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 601 -p udp -m multiport --sports 135,137,138,139,445 -j win
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 602 -p tcp -m multiport --dports 135,137,138,139,445 -j win
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 603 -p udp -m multiport --dports 135,137,138,139,445 -j win
firewall-cmd --permanent --direct --add-rule ipv4 filter win 650 -j LOG --log-prefix "USING WIN PORT:"
firewall-cmd --permanent --direct --add-rule ipv4 filter win 651 -j DROP


firewall-cmd --reload
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

0

iptables -nvL を見るとわかると思いますが、ダイレクトルールがゾーンよりも先に評価されます。

また、ゾーンを使わないのであれば、firewalld を使わずに iptables, ip6tables でいいのではないでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.45%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • Linux

    4538questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • CentOS

    3219questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • firewalld

    33questions