質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Q&A

解決済

1回答

1836閲覧

iptables SSHポート番号変更

keep_den

総合スコア14

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

0グッド

0クリップ

投稿2017/06/19 02:54

編集2017/06/19 06:23

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

・127.0.0.1からの通信を全て許可
-A INPUT -p tcp -i lo -j ACCEPT

・ セッション確立後のパケット疎通は許可
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

・SSHへの接続制限(xxx.xxx.xxx.xxxの箇所は許可するIPアドレスを指定)
-A INPUT -p tcp -m tcp --dport 22 -s xxx.xxx.xxx.xxx -j ACCEPT

・HTTPへの接続許可
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

・port 444
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

以下のiptablesの場合、SSHのポート番号を2222に変更する場合iptablesはどうしたよいですか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

-A PREROUTING -p tcp -m tcp --dport 22 -j REDIRECT --to-ports 2222

リダイレクトだけなら上記設定かと思いますが、Port22への通信をPort2222にリダイレクトするのであれば
SSHの許可行を変更する必要があります。


-A INPUT -p tcp -m tcp --dport 22 -s xxx.xxx.xxx.xxx -j ACCEPT

↓ ↓ ↓

-A INPUT -p tcp -m tcp --dport 2222 -s xxx.xxx.xxx.xxx -j ACCEPT


投稿2017/06/19 08:37

k-nishiyama

総合スコア240

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

keep_den

2017/06/19 09:21

ご回答ありがとうございます INPUTのルールで(171.20.0.0/16)のみport 80 443 22を許可(他は全て拒否) の場合上のiptablesで合っていますか?
k-nishiyama

2017/06/19 23:48

先に提示した前者の行を挿入すると、Port22の通信がPort2222にリダイレクトされます。 正確に言うと[*filter]をCOMMITしたあとに *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -p tcp -m tcp --dport 22 -j REDIRECT --to-ports 2222 COMMIT と、いった形で追記します。 この場合、リダイレクト元であるPort22への接続許可行は必要ありません。 その代わり、リダイレクト先であるPort2222へは別の行で接続許可行が必要となります。 Port80,443の通信に影響を出さずに設定を変更するのであれば、前者の行の追加と 既存のPort22接続許可行をPort2222の接続許可行に変更すれば良いと思います。
keep_den

2017/06/20 02:39

ありがとうございます -m state --stateの意味はなんでしょうか?
k-nishiyama

2017/06/20 02:46

"パケットの状態"を条件に指定しています。 コマンド1つ1つの意味については、Google等で検索したほうが早いと思いますよ。 Linuxを勉強するにあたり、自力で調査するスキルは必須です。 ↓とか http://a-kimura.smc-msv.jp/?p=15
keep_den

2017/06/20 02:54

ありがとうございます 最後に質問させてください 上のiptablesのSSHの接続制限やHTTPへの接続許可は-m state --stateは必要ですか?
k-nishiyama

2017/06/20 03:03

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 先ほど "パケットの状態を条件にしている" と記載したはずですが、これは「既に確立済みの通信は許可しますよ」といった指定です。 必須かどうかで言えば「別に必須では無いです」が、これを指定しなかった場合、既存の通信にどんな影響が出るかはしっかりと把握されてから削除したほうがいいですよ。
keep_den

2017/06/20 03:11

追記する場合 どこに追記すればよいでしょうか? A INPUT -m state --state -p tcp -m tcp --dport 22 -s xxx.xxx.xxx.xxx -j ACCEPT でいいんでしょうか?
k-nishiyama

2017/06/20 03:16

失礼ですが、私の回答を全て読み直していただけると幸いです。 既存の行に「state --state」を追加しろと記載した記憶はありません。 あくまでも「-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT」に対してのコメントです。
keep_den

2017/06/20 03:33

申し訳ないです もしもでおねがいします SSH接続のルールに追記する場合 A INPUT -m state --state -p tcp -m tcp --dport 22 -s xxx.xxx.xxx.xxx -j ACCEPT で良いでしょうか?
k-nishiyama

2017/06/20 04:00 編集

ですから、少しでもコマンドの意味を自分で調べたらすぐわかる内容です。 試したことはないですが、上記の行は反映できないはずです。 http://www.turbolinux.co.jp/products/server/11s/user_guide/iptablescmd.html ※ページ内「state 拡張」を参照 そもそも、何がしたいのでしょうか? > -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT この行がある限り、ポートやIPに関係なく、既に確立済みの通信は許可されます。 SSHの通信をどうしたいのですか?その"もしも"に何の意味があるのでしょうか? コマンドの意味を調べたほうが良いと進言した内容に触れず、意味も調べないままに、斜め上の質問をされていることに気づいけていません。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問