Linuxサーバー構築 続き

ルールをクリアするには、-Fを使用する。
# iptables -F
# iptables -t nat -F

ポリシーの設定
  INPUT:入ってくるパケット
  FORWARD:転送パケット
  OUTPUT:出て行くパケット

原則破棄
# tables -P INPUT DROP
# tables -P FORWARD DROP
原則許可
# tables -P OUTPUT ACCEPT 


外部からのアクセスを許可する
    SSHサーバーを公開する場合
    # iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    外部向けDNSサーバーを運用する場合
    # iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    # iptables -A INPUT -p udp --dport 53 -j ACCEPT
    Webサーバー(http)を公開する場合
    # iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    Webサーバー(HTTPS)を公開する場合
    # iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    FTPサーバーを公開する場合
    # iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    SMTPサーバーを公開する場合
    # iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    SMTPSサーバーを公開する場合
    # iptables -A INPUT -p tcp --dport 465 -j ACCEPT
    POP3サーバーを公開する場合
    # iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    POP3Sサーバーを公開する場合
    # iptables -A INPUT -p tcp --dport 995 -j ACCEPT
    IMAPサーバーを公開する場合
    # iptables -A INPUT -p tcp --dport 143 -j ACCEPT
    IMAPSサーバーを公開する場合
    # iptables -A INPUT -p tcp --dport 993 -j ACCEPT
などを、設定する。

LinuxサーバーをPCルーターにする場合
　前提とするネットワーク条件
　内部のネットワークを192.168.1.0/24
　内部のネットワークアダプタをeth0
　外部接続のインターフェイスをppp0

    # iptables -N Firewall-INPUT 
    # iptables -A INPUT -j Firewall-INPUT 
    # iprables -A Firewall-INPUT -i eth0 -j ACCEPT 
    SSHサーバーを公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
    外部向けDNSサーバーを運用する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT
    # iptables -A Firewall-INPUT -i ppp0 -p udp --dport 53 -j ACCEPT
    Webサーバー(http)を公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
    Webサーバー(HTTPS)を公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 443 -j ACCEPT
    FTPサーバーを公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
    SMTPサーバーを公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
    SMTPSサーバーを公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 465 -j ACCEPT
    POP3サーバーを公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 110 -j ACCEPT
    POP3Sサーバーを公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 995 -j ACCEPT
    IMAPサーバーを公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 143 -j ACCEPT
    IMAPSサーバーを公開する場合
    # iptables -A Firewall-INPUT -i ppp0 -p tcp --dport 993 -j ACCEPT


NetBIOS関連のパケットが外に出ないように
# iptables -A OUTPUT -o ppp0 -m multiport -p tcp --dport 135,137:139,445 -j DROP
# iptables -A OUTPUT -o ppp0 -m multiport -p udp --dport 135,137:139,445 -j DROP
を設定する。


スパムメールの対策としてiptablesを利用する。
# iptables -N SPAMFILTER
# iptables -N SPAMFILTERED
# iptables -A SPAMFILTERED -j LOG --log-prefix '[IPTABLES SPAMFILTER] : '
# iptables -A SPAMFILTERED -j DROP
# iptables -A INPUT -p tcp -m state --state NEW -j SPAMFILTER
# iptables -A INPUT -p tcp -j SPAMFILTER

58.18.0.0/16から、スパムメールが送られてくる場合
# iptables -A SPAMFILTER -s 58.18.0.0/16 -p tcp --dport 25 -j SPAMFILTERED
と、SPAMFILTERルールに追加する。
SPAMFILTERルールをクリアしたい場合、
# iptables -F SPAMFILTER
で、行うことが可能である。


コンソールにメッセージが表示されるため、
/etc/sysconfig/syslog を、修正
KLOGD_OPTIONS="-x"
から
KLOGD_OPTIONS="-x -c 4"
に、変更