teratail
回答率
85.32%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.32%
トップLinuxに関する質問
Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Ubuntu

Ubuntuは、Debian GNU/Linuxを基盤としたフリーのオペレーティングシステムです。

VPS

VPS(バーチャル・プライベート・サーバ)は、仮想化されたサーバをレンタルするサービスで、共有サーバでありながら専門サーバと同等の機能を果たします。物理的な専門サーバより安価で提供できるメリットがあります。

Q&A

解決済

1回答

7859閲覧

ufwを適用するためにiptablesを初期化したらaptが接続できなくなった

MasatakaMiyoshi
MasatakaMiyoshi

総合スコア109

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Ubuntu

Ubuntuは、Debian GNU/Linuxを基盤としたフリーのオペレーティングシステムです。

VPS

VPS(バーチャル・プライベート・サーバ)は、仮想化されたサーバをレンタルするサービスで、共有サーバでありながら専門サーバと同等の機能を果たします。物理的な専門サーバより安価で提供できるメリットがあります。

0グッド

0クリップ

投稿2017/03/27 16:41

編集2017/03/27 16:55

0

0

先日さくらのVPSをレンタルし,Ubuntu Server 16.04 LTSをインストールしました.

Ubuntuにはiptablesをシンプルにしたufwというものがあるようなので,これを使ってファイヤウォールの設定を行おうと思っていました.

例えば,仮にsshのポートを2222とすると,

bash
1sudo ufw enable
2sudo ufw default DENY
3sudo ufw allow 2222
4sudo ufw allow 80
5sudo ufw allow 443
6sudo ufw reload

のように設定しようと考えていました.
しかし,実際にこの設定でSSH接続を試みたところ,2222ポートは開かず,逆に22番ポートは開いたままになっていました.

調べてみると,どうもufwのルールは,さくらがデフォルトで設定しているiptablesの設定が一通り終わってから適用されるようです.つまり,

bash
1sudo iptables -L
2
3>>>
4Chain INPUT (policy DROP)
5... (さくら側で行われた初期設定)
6Chain FORWARD (policy DROP)
7... (さくら側で行われた初期設定)
8Chain OUTPUT (policy ACCEPT)
9... (さくら側で行われた初期設定)
10Chain f2b-sshd (1 references)
11... (さくら側で行われた初期設定)
12Chain ufw-after-forward (1 references)
13... (ufwによるユーザー設定)
14...

となっていました.そこで私は,

bash
1sudo iptables -F
2sudo ufw reload

とすることで,この問題に対処しました.

ところが,この方法の場合,sudo apt update等ができなくなってしまうようです.
apt,またはもう少し一般的に言えばpip, gem, npm等,こちらからデータの取得を要求する場合だけ通信を許可する方法はあるのでしょうか?

よろしくお願いします.

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

Chain INPUT (policy DROP)
... (さくら側で行われた初期設定)
Chain FORWARD (policy DROP)
... (さくら側で行われた初期設定)
Chain OUTPUT (policy ACCEPT)
... (さくら側で行われた初期設定)

検討違いかもしれませんが、この状態で sudo iptables -F を実行すると、 ルールだけクリアされて、INPUTとFORWARDはポリシーがDROPのまま(=全て拒否される)になってるとかではないでしょうか?

参考

http://www.in-vitro.jp/blog/index.cgi/Linux/20090427_01.htm

投稿2017/03/27 17:35

編集2017/03/27 17:40
tell_k
tell_k

総合スコア2120

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

MasatakaMiyoshi
MasatakaMiyoshi

2017/03/27 19:11

そうみたいです…ありがとうございます! INPUTチェインを見直し,原因となる箇所だけを削除しようと試みていたところ,ufwの実行前に挟まれたREJECTが原因だったことが判明しました. ``` Chain INPUT (policy DROP) target prot opt source destination f2b-sshd tcp -- anywhere anywhere multiport dports 2222 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh REJECT all -- anywhere anywhere reject-with icmp-host-prohibited ufw-before-logging-input all -- anywhere anywhere ufw-before-input all -- anywhere anywhere ufw-after-input all -- anywhere anywhere ufw-after-logging-input all -- anywhere anywhere ufw-reject-input all -- anywhere anywhere ufw-track-input all -- anywhere anywhere ``` 結局,さくらのVPSのUbuntuのデフォルト設定でufwが使い物にならないのは,このREJECT部分が原因だったようです.この箇所を ``` sudo iptables -D INPUT 6 ``` で消したところ,既存の設定を壊すことなく動きました.
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.32%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップLinuxに関する質問

ufwを適用するためにiptablesを初期化したらaptが接続できなくなった