Q&A
RHEL 5 / CentOS 5 までの system-config-securitylevel-tui (lokkit) を使って設定すると、質問にあるようなチェイン、ルールが設定されます。
サーバーのファイアーウォールの設定について。
いままで真面目に勉強したことがなかったので、
この機会にいろいろ勉強しています。
とあるサイトで以下のファイアーウォールの設定が、
例としてあげられていました。
VPSサーバー構築の初心者用に例としてあげられていたのですが、
この設定って実際に運用する人からするとどうなんでしょうか?
当然、要望等でケースバイケースとは思いますが、
一般的な中規模なWEBサイト運用と考えたときに、
個人的なご意見などが聞ければと思います。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:FWWALL-1-INPUT - [0:0]
-A INPUT -j FWWALL-1-INPUT
-A FORWARD -j FWWALL-1-INPUT
-A FWWALL-1-INPUT -i lo -j ACCEPT
-A FWWALL-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A FWWALL-1-INPUT -p 50 -j ACCEPT
-A FWWALL-1-INPUT -p 51 -j ACCEPT
-A FWWALL-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A FWWALL-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A FWWALL-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A FWWALL-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
SSH, HTTP, FTP1, FTP2, MySQL
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 61203 -j ACCEPT
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A FWWALL-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
━━━━━━━━━━━━━━━━━━━━━━━━━
この時点で結構セキュリティゆるい気もしますが、
こんなもんなのでしょうか。
━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -p 50 -j ACCEPT
-A FWWALL-1-INPUT -p 51 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━
この設定については、
どういう意味があるのでしょうか。
━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━
5353、224.0.0.251って一般的に,
何かに使われているものでしょうか
なぜここにこれが記載されてるのかが理解できないです。
━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A FWWALL-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━
ポート631はリモートで印刷するときに使うポート理解していますが、
一般的にはそういう認識でいいのでしょうか。
何かご意見などがあれば教えてください。
何卒よろしくお願いいたします。
回答2件
0
ベストアンサー
RHEL/CentOSあたりのデフォルトから加えていったのだと思いますが、
外部公開(インターネットから見える)を前提にしますとかなり緩いです。
━━━━━━━━━━━━━━━━━━━━━━━━━
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
━━━━━━━━━━━━━━━━━━━━━━━━━
ルール変更時に誤って最後の拒否ルールを消してしまった時を想定して、
両方ともデフォルトDROPを推奨します。
━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -p 50 -j ACCEPT
-A FWWALL-1-INPUT -p 51 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━
IPSecに使用するプロトコルです。
使用しないのであれば、不要ですので、削除を推奨します。
━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━
mDNS(multicast Domain Name System)を使用する場合に必要です。
こちらも使用しないのであれば、不要ですので、削除を推奨します。
━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A FWWALL-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━
印刷の機能と考えて問題ありません。
こちらも使用しないのであれば、不要ですので、削除を推奨します。
ほかにftpについては、コマンドポートである
━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
━━━━━━━━━━━━━━━━━━━━━━━━━
のみ有効にし、
/etc/sysconfig/iptables-configで
IPTABLES_MODULES="ip_conntrack_ftp"
と記載していれば、データポート(アクティブ・パッシブ問わず)は
自動で許可してくれます(RELATEDのところで許可される)。
負荷はちょっと高くなりますが、別途データポートを開けるよりは、
こちらの設定を推奨します。
最後に
━━━━━━━━━━━━━━━━━━━━━━━━━
-A FWWALL-1-INPUT -j REJECT --reject-with icmp-host-prohibited
━━━━━━━━━━━━━━━━━━━━━━━━━
は、REJECTではなくDROPの方が良いとされています。
投稿2015/08/16 21:59
編集2015/08/16 22:01
総合スコア21735
0
iptabelsで実現されたい事は、何なのでしょうか?
:FWWALL-1-INPUT - [0:0]
【FWWALL-1-INPUT】というチェインを新たに作成し、
-A INPUT -j FWWALL-1-INPUT
-A FORWARD -j FWWALL-1-INPUT
それを自分自身宛のチェイン【INPUT】と
別のサーバへの転送用チェイン【FORWARD 】に適用しています。
なので、【FWWALL-1-INPUT】にルールを追加すれば、
【INPUT】と【FORWARD 】に適用されるので、
運用負荷が少なくなるようになっていますが、
設定内容そのものは、サーバーをネットワークの境界に置いて、
ルータ(ゲートウェイ)として動作させ、
外部からの通信を内部のサーバへの転送と通信制御をしつつ、
自分自身も同じサービスを提供するような設定内容になっています。
きっと参考にされたサイトには
そういったルータ(ゲートウェイ)として動作せるための設定として、
紹介されていたのだと思います。
単にWEBサーバとして公開するだけであれば、
不要なポートが解放されすぎているので、
ほとんど役に立たないと思います。
必要なサービスのポートのみを開けるのがよいので、
実際には、WEBサービスのHTTPとHTTPS用に、TCP80,443.
メンテナンスのSSH用に、TCP22だけでよいかと思います。
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 【サーバのIPアドレス】 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -d 【サーバのIPアドレス】 -m state --state NEW -m tcp -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -d 【サーバのIPアドレス】 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
最初は、iptablesを直接触るのではなく
system-config-firewall-tui や
fwbuilder を使ったほうが、
トラブルは少ないと思います。
投稿2015/08/18 04:23
総合スコア79
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/08/19 10:27