6.2.1.4.パケットフィルタリングの設定

実際にiptablesコマンドを用いて、フィルタリングのルールを新規に作成してみましょう。ここでは、「6.1.4.セキュリティポリシーの設計」に合わせた設定を行いますが、セキュリティポリシーが異なる場合は、環境に合わせて設定を行ってください。

※以後の設定は「4.3.2.ファイアウォールの設定」による設定を初期化します。間違った設定を行うと、セキュリティが著しく低下する危険性がありますので、セキュリティポリシーやパケットフィルタリングを十分理解してから操作を行うようにしてください。

#設定の初期化

# iptables -F

#通過、または入ってくるパケットを全て拒否

# iptables -P INPUT DROP # iptables -P OUTPUT ACCEPT # iptables -P FORWARD DROP

#ループバックアドレスからのアクセスを許可

# iptables -A INPUT -i lo -j ACCEPT

#icmpを許可

# iptables -A INPUT -p icmp -j ACCEPT

#現在セッションを張っているサービスを許可

# iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT

#DNSサービスの許可

# iptables -A INPUT -p tcp --dport 53 -j ACCEPT # iptables -A INPUT -p udp --dport 53 -j ACCEPT # iptables -A INPUT -p tcp --sport 53 -j ACCEPT # iptables -A INPUT -p udp --sport 53 -j ACCEPT

#WWWサービスの許可

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#POP3サービスの許可(ただし、POP brfore SMTPなしの場合はeth1のみ許可)

# iptables -A INPUT -p tcp --dport 110 -j ACCEPT

#SMTPサービスの許可

# iptables -A INPUT -p tcp --dport 25 -j ACCEPT

#eth1からのProxyサービスを許可

# iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 8080 -j ACCEPT

#eth1からのSSHサービスを許可

# iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

#eth1からのftpサービスを許可

# iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 20:21 -j ACCEPT

#eth1からのntp問い合わせを許可

# iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 123 -j ACCEPT

終了したら、登録したルールを保存し、iptablesを再起動します。

# /etc/init.d/iptables save　←ルールを保存 現在のルールを/etc/sysconfig/iptablesに保存中: [ OK ] # /etc/init.d/iptables restart　←iptablesを再起動 現在のすべてのルールとユーザ定義チェインを初期化中: [ OK ] 現在のすべてのルールとユーザ定義チェインを破棄中: [ OK ] iptablesファイアウォールルールを適用中: [ OK ] #

保存内容を確認したい場合には以下のコマンドを実行してください

# iptables-save # Generated by iptables-save v1.2.7a on Tue Mar 16 16:00:30 2004 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [295:18902] :RH-Lokkit-0-50-INPUT - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 8080 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 20:21 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 123 -j ACCEPT COMMIT # Completed on Tue Mar 16 16:00:30 2004