質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.61%

  • Linux

    3639questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • サーバ

    756questions

    サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。

  • セキュリティー

    447questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

ファイアーウォールの設定

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 828

1nakaji

score 174

サーバーのファイアーウォールの設定について。

いままで真面目に勉強したことがなかったので、
この機会にいろいろ勉強しています。

とあるサイトで以下のファイアーウォールの設定が、
例としてあげられていました。

VPSサーバー構築の初心者用に例としてあげられていたのですが、
この設定って実際に運用する人からするとどうなんでしょうか?

当然、要望等でケースバイケースとは思いますが、
一般的な中規模なWEBサイト運用と考えたときに、
個人的なご意見などが聞ければと思います。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:FWWALL-1-INPUT - [0:0]
-A INPUT -j FWWALL-1-INPUT
-A FORWARD -j FWWALL-1-INPUT
-A FWWALL-1-INPUT -i lo -j ACCEPT
-A FWWALL-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A FWWALL-1-INPUT -p 50 -j ACCEPT
-A FWWALL-1-INPUT -p 51 -j ACCEPT
-A FWWALL-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A FWWALL-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A FWWALL-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A FWWALL-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH, HTTP, FTP1, FTP2, MySQL
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 61203 -j ACCEPT
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A FWWALL-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━━━━━━━━━━━━━━━━━━━━━━━━━
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
━━━━━━━━━━━━━━━━━━━━━━━━━

この時点で結構セキュリティゆるい気もしますが、
こんなもんなのでしょうか。

━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -p 50 -j ACCEPT
-A FWWALL-1-INPUT -p 51 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━

この設定については、
どういう意味があるのでしょうか。

━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━

5353、224.0.0.251って一般的に,
何かに使われているものでしょうか

なぜここにこれが記載されてるのかが理解できないです。

━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A FWWALL-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━

ポート631はリモートで印刷するときに使うポート理解していますが、
一般的にはそういう認識でいいのでしょうか。



何かご意見などがあれば教えてください。
何卒よろしくお願いいたします。
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+2

RHEL/CentOSあたりのデフォルトから加えていったのだと思いますが、
外部公開(インターネットから見える)を前提にしますとかなり緩いです。

━━━━━━━━━━━━━━━━━━━━━━━━━ 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
━━━━━━━━━━━━━━━━━━━━━━━━━ 
ルール変更時に誤って最後の拒否ルールを消してしまった時を想定して、
両方ともデフォルトDROPを推奨します。

━━━━━━━━━━━━━━━━━━━━━━━━━ 
-A FWWALL-1-INPUT -p 50 -j ACCEPT 
-A FWWALL-1-INPUT -p 51 -j ACCEPT 
━━━━━━━━━━━━━━━━━━━━━━━━━ 
IPSecに使用するプロトコルです。
使用しないのであれば、不要ですので、削除を推奨します。

━━━━━━━━━━━━━━━━━━━━━━━━━ 
-A FWWALL-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT 
━━━━━━━━━━━━━━━━━━━━━━━━━ 
mDNS(multicast Domain Name System)を使用する場合に必要です。
こちらも使用しないのであれば、不要ですので、削除を推奨します。

━━━━━━━━━━━━━━━━━━━━━━━━━ 
-A FWWALL-1-INPUT -p udp -m udp --dport 631 -j ACCEPT 
-A FWWALL-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT 
━━━━━━━━━━━━━━━━━━━━━━━━━ 
印刷の機能と考えて問題ありません。
こちらも使用しないのであれば、不要ですので、削除を推奨します。

ほかにftpについては、コマンドポートである
━━━━━━━━━━━━━━━━━━━━━━━━━ 
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT 
━━━━━━━━━━━━━━━━━━━━━━━━━ 
のみ有効にし、
/etc/sysconfig/iptables-configで
IPTABLES_MODULES="ip_conntrack_ftp"
と記載していれば、データポート(アクティブ・パッシブ問わず)は
自動で許可してくれます(RELATEDのところで許可される)。
負荷はちょっと高くなりますが、別途データポートを開けるよりは、
こちらの設定を推奨します。

最後に
━━━━━━━━━━━━━━━━━━━━━━━━━ 
-A FWWALL-1-INPUT -j REJECT --reject-with icmp-host-prohibited  
━━━━━━━━━━━━━━━━━━━━━━━━━ 
は、REJECTではなくDROPの方が良いとされています。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/08/19 19:27

    丁寧なご回答ありがとうございます。
    非常に勉強になりました。

    まだまだ勉強中ですので、
    また何かあればよろしくお願いいたします。

    キャンセル

+1

iptabelsで実現されたい事は、何なのでしょうか?

:FWWALL-1-INPUT - [0:0] 

【FWWALL-1-INPUT】というチェインを新たに作成し、

-A INPUT -j FWWALL-1-INPUT 
-A FORWARD -j FWWALL-1-INPUT 

それを自分自身宛のチェイン【INPUT】と
別のサーバへの転送用チェイン【FORWARD 】に適用しています。

なので、【FWWALL-1-INPUT】にルールを追加すれば、
【INPUT】と【FORWARD 】に適用されるので、
運用負荷が少なくなるようになっていますが、

設定内容そのものは、サーバーをネットワークの境界に置いて、
ルータ(ゲートウェイ)として動作させ、
外部からの通信を内部のサーバへの転送と通信制御をしつつ、
自分自身も同じサービスを提供するような設定内容になっています。

きっと参考にされたサイトには
そういったルータ(ゲートウェイ)として動作せるための設定として、
紹介されていたのだと思います。

単にWEBサーバとして公開するだけであれば、
不要なポートが解放されすぎているので、
ほとんど役に立たないと思います。

必要なサービスのポートのみを開けるのがよいので、
実際には、WEBサービスのHTTPとHTTPS用に、TCP80,443.
メンテナンスのSSH用に、TCP22だけでよいかと思います。

*******
iptables -P INPUT   DROP
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 【サーバのIPアドレス】 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -d 【サーバのIPアドレス】 -m state --state NEW -m tcp -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -d 【サーバのIPアドレス】 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
*******


最初は、iptablesを直接触るのではなく
system-config-firewall-tui
fwbuilder を使ったほうが、
トラブルは少ないと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/08/18 14:33

    RHEL 5 / CentOS 5 までの system-config-securitylevel-tui (lokkit) を使って設定すると、質問にあるようなチェイン、ルールが設定されます。

    キャンセル

  • 2015/08/18 15:06 編集

    確認不足で申し訳ありません。

    ご指摘いただいたように、
    初期状態でチェイン、ルールが作成されました。

    キャンセル

  • 2015/08/19 19:26

    いろいろ教えていただきありがとうございます。
    引き続き勉強していきます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.61%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Linux

    3639questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • サーバ

    756questions

    サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。

  • セキュリティー

    447questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。