「Linux管理」Iptablesファイアウォールにルールを設定する方法まとめ

1.ICMPプロトコルパケットを拒否
iptables -I INPUT -p icmp -j REJECT

2.ICMPプロトコル以外のパケットを許可
iptables -A FORWARD -p ! icmp -j ACCEPT

3.192.168.1.10からのデータ転送を拒否、192.168.0.0/24ネットワークデータを転送
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

4.外部eth1のアドレスをプライベートネットワークに転送
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

5.「192.168.1.0/24」を拒否して、4時間後許可
[root@server ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP
[root@server ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP
[root@server ~]# at now +4 hours
at> iptables -D INPUT 1
at> iptables -D FORWARD 1
説明:crondでタスクを実行
[1]+ Stopped at now +4 hours

6.「202.13.10.0/16」からのみSSHリモートログインを許可
iptables -A INPUT -p tcp –dport 22 -s 202.13.10.0/16 -j ACCEPT
iptables -A INPUT -p tcp –dport 22 -j DROP

7.TCPポート20~1024を許可
iptables -A INPUT -p tcp –dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 20:1024 -j ACCEPT

8.「192.168.0.0/24」のDNS解析パケットを転送
iptables -A FORWARD -s 192.168.0.0/24 -p udp –dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp –sport 53 -j ACCEPT

9.他のHostからpingを禁止、ファイアウォールから他のhostにpingを許可
iptables -I INPUT -p icmp –icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp –icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp –icmp-type destination-Unreachable -j ACCEPT

10.MACアドレス「00:0C:29:29:55:3F」からのデータパケットを禁止
iptables -A FORWARD -m mac –mac-source 00:0c:29:29:55:3F -j DROP

11.外部に向けTCPポート20、21、25、110を許可、FTPポート1250-1280を開放
iptables -A INPUT -p tcp -m multiport –dport 20,21,25,110,1250:1280 -j ACCEPT

12.192.168.1.20-192.168.1.99のTCPデータを禁止
iptables -A FORWARD -p tcp -m iprange –src-range 192.168.1.20-192.168.1.99 -j DROP

13.通常のTCPに関係ないsynリクエストパケットを禁止
iptables -A FORWARD -m state –state NEW -p tcp ! –syn -j DROP

14.既存の接続応答パケットを許可、新たなデータパケットをfirewallへのアクセスを拒否
iptables -A INPUT -p tcp -m state –state NEW -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT

15.web(80)、FTP(20、21、20450-20480)を開放
iptables -I INPUT -p tcp -m multiport –dport 20,21,80 -j ACCEPT
iptables -I INPUT -p tcp –dport 20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state –state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

関連記事:

  1. linuxでmutt、msmtpメールクライアントのインストール、設定
  2. Ubuntu 14.10/14.04/12.04でBoomagaをインストールする方法
  3. Linuxでプロセスが使用中のファイルを調べる方法lsof
  4. ubuntuでrabbitMQをインストールする方法

Linux

Posted by arkgame