サーバー構築日誌 そのきゅー 2014/08/10 (Sun)

第9回です。今回は前回に引き続き、悪いことする人たちから身を守る方法についてご紹介します。

今回はファイヤーウォールの設定を行っていきます。

ちょっと前にBBBの方でufwをインストールした記事を紹介したかと思いますが、

今回はcentosにデフォで導入されているパケットフィルタリングのiptablesを使っていこうと思います。


まずは設定ですが、ufwのようにコマンド上で

---

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

---

こんな感じに打って設定していくことができるのですが、いちいち全部打つのは面倒なので、

今回は直接viで設定を書いてみます。


まずはviで設定ファイルを開きます。

---

 vi /etc/sysconfig/iptables

---

次に中身を書いていきます。

---

-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp --dport 20 -j ACCEPT
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 60000-60030 -j ACCEPT

---

とりあえずココらへんのポートを開放しておきます。

80はhttpなのでサイトを公開する際には必須

443はSSLです。hhtpsを使いたい場合はこれも必須です。

20、21、60000-60030はFTPで使います。サーバーにFTPでデータをアップロードしたい場合は必須です。

22はSSHです。今使ってるはずなのでこれがないとiptables起動したらSSHできなくなりますね。

25はSMTP、よーするにメールサーバ実装したい際はこれ開放しないと使えません。


とまぁこんな感じ。ポートの詳細はちょっと調べればどことなく書いてあるので詳細はそちらで。


そして設定が終わったらお馴染みの再起動です。

特に確認とかしていませんが、多分これで再起動できるはずです。

---

service iptables restart

---

以上でファイヤーウォール設定は終了です。

実はiptablesではもっと複雑なアクセス制御を行うことも可能で、

特定の国からのアクセスを排除したり、特定のIPアドレスからのアクセスの制限とかも行うことができます。


現在うちのサーバでもiptablesを使って某国からのアクセスは完全にシャットアウトしていたりします。

どこぞの国からの攻撃が怖い場合はこういう処置をしてみてはいかがでしょうか？
DROP_COUNTRYでググれば出てくるよ。多分。


という訳で今日はこの辺で。

4/2追記
カテゴリー外れてたっぽいので追加しました('ω')✌

（＾・ω・）ノ RadiumProduction at curonet