Linuxにiptablesの基本設定知識まとめ
1.デフォルトルールを設定
[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT
[root@tp ~]# iptables -p FORWARD DROP
2.必要なポートを開放
SSH 22
[root@tp ~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT
Apache 80
[root@tp ~]# iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp –dport 80 -j ACCEPT
メールサーバ25,110
[root@tp ~]# iptables -A INPUT -p tcp –dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp –dport 25 -j ACCEPT
FTPサーバ,21ポート
[root@tp ~]# iptables -A INPUT -p tcp –dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp –dport 20 -j ACCEPT
DNSサーバー,ポート53
[root@tp ~]# iptables -A INPUT -p tcp –dport 53 -j ACCEPT
3.ping許可
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT
4.loopback許可
IPTABLES -A INPUT -i lo -p all -j ACCEPT
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT
5.不安全なポートを減る
[root@tp ~]# iptables -A OUTPUT -p tcp –sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp –dport 31337 -j DROP
6.特定IPからのアクセス
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp –dport 22 -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
7.TCPパケットを捨てる
[root@tp ~]#iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP
IPフラグメントを処理
[root@tp ~]#iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
ICMPパケットをフィルタリング
[root@tp ~]#iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT