質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Webサーバー

Webサーバーとは、HTTPリクエストに応じて、クライアントに情報を提供するシステムです。

Q&A

解決済

1回答

5878閲覧

Linux iptablesでのループバックアドレスに対する設定について教えてください

exnjinia

総合スコア16

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Webサーバー

Webサーバーとは、HTTPリクエストに応じて、クライアントに情報を提供するシステムです。

1グッド

2クリップ

投稿2020/03/12 08:34

編集2020/03/12 09:06

linux(CentOS6)のiptablesにおけるループバックアドレスの設定方法で分からないことがあります。

現在、Linuxのセットアップ本(少し古い本なので環境はCentOS6)を見ながらiptablesの設定を行っているのですが、その本ではまずwebサーバを構築する際のiptablesの基本として次の設定を推奨しています。

【webサーバ構築でのiptablesの基本設定】
①#iptables -P INPUT DROP
②#iptables -P FORWARD DROP
③#iptables -P OUTPUT ACCEPT
④#iptables -A INPUT -i lo -j ACCEPT
⑤#iptables -A INPUT -p icmp -j ACCEPT
⑥#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
⑦#iptables -A INPUT -p tcp -d xxx.xxx.xx.x --dport 22 -j ACCEPT
⑧#iptables -A INPUT -p tcp -d xxx.xxx.xx.x --dport 80 -j ACCEPT
※xxx.xxx.xx.xにはIPアドレス実数値が入ります。

これ自体はよくある設定のようで、他の本やサイトでも紹介されていました。
しかし、この本ではその後、
「IP偽装対策としてwebサーバーでは次の設定もしたほうがいいでしょう」と前置きした上で

⑨#iptables -A INPUT -s 127.0.0.0/8 -j DROP
という設定をしていました。(他にもリンクローカルアドレスやプライベー
トIPアドレスを同様にDROP設定していた)

ここで疑問なのですが、「webサーバを構築するために」と前置きした上で、ループバックアドレスに対して
④#iptables -A INPUT -i lo -j ACCEPT
⑨#iptables -A INPUT -s 127.0.0.0/8 -j DROP
という2つの設定をすることに意味はあるのでしょうか?

気になったので調べてみたところ、ループバックアドレスに対しpingを打つと送信元IPアドレス、宛先IPアドレスともに127.0.0.1(要は、送信元、宛先ともにループバックアドレス)になるようですが、
ということは、④⑨を両方とも設定した場合、④で「ループバックアドレスへのパケットを受け入れます」という設定をしておきながら、⑨では「送信元IPアドレスがループバックアドレスのパケットは破棄する」ということになり、④⑨の設定は共存できないのではないか?要は、どちらか一方の設定は無駄になるのではないか?と思えてしまうのです。

それとも、上記の
ループバックアドレスに対しpingを打つと送信元IPアドレス、宛先IPアドレスともに127.0.0.1になるようですが
というのは私の誤りで、実際は送信元IPアドレスが127.0.0.1のループバックアドレスへのパケットは悪意ある攻撃を意味するものだから、④で「ループバックアドレスへのパケットは受け入れる」と言いながら、⑨で「しかし、送信元IPアドレス127.0.0.1のループバックアドレス宛パケットは破棄する」と設定しているのでしょうか?

どなたかiptablesに詳しい方、ループバックアドレスに対しこの2つの設定を同時に行う意味を教えていただけないでしょうか。

s.k👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

lo 以外 から Source IP が 127.0.0.1 の(偽装された)パケットを拒否したいのだと思います。

投稿2020/03/12 11:42

TaichiYanagiya

総合スコア12173

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

exnjinia

2020/03/14 13:31

返信が遅くなりまして申し訳ございません。 回答ありがとうございます! 例えばifconfigを叩き、eth0 と lo という二つのネットワークインターフェースが存在する場合、 ④#iptables -A INPUT -i lo -j ACCEPT →loで受信したパケットはそのまま受け取る。 (送信元IPアドレスがループバックアドレスだとか、そういう話以前に、loで受信したパケットならば受け取る。loでそのようなパケットを受け取る場合があるのかはわかりませんが...) ⑨#iptables -A INPUT -s 127.0.0.0/8 -j DROP →lo以外(=eth0)で受信した送信元IPアドレスが127.0.0.0(=送信元IPはループバックアドレス)のパケットは拒否する ということでしょうか?もしよろしければ教えていただけると幸いです。
exnjinia

2020/03/15 12:59

ありがとうございます!本当に助かりました!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問