iptables自分用設定メモ
※海外IPアドレスからのアクセスをブロックするiptablesの設定はこちら
※firewalldでの設定方法はこちら
mkdir /root/iptables vi /root/iptables/iptables_setup.sh
#!/bin/bash /etc/rc.d/init.d/iptables stop # 受信は破棄、送信は許可、通過は破棄 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # 自ホストからのアクセスを許可 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # 内部から行ったアクセスに対する外部からの返答アクセスを許可 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # fragment 破棄 iptables -A INPUT -f -j LOG --log-level debug --log-prefix 'FRAGMENT DROP:' iptables -A INPUT -f -j DROP # ping of death 破棄 iptables -N PINGOFDEATH iptables -A PINGOFDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT iptables -A PINGOFDEATH -j LOG --log-level debug --log-prefix 'PINGDEATH DROP:' iptables -A PINGOFDEATH -j DROP iptables -A INPUT -p icmp --icmp-type echo-request -j PINGOFDEATH # broadcast 破棄 iptables -A INPUT -d 255.255.255.255 -j DROP iptables -A INPUT -d 224.0.0.1 -j DROP # サーバーで利用するポートを許可 iptables -A INPUT -p tcp --sport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s 18.97.14.85 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 110 -j ACCEPT iptables -A INPUT -p tcp --dport 143 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp --dport 465 -j ACCEPT iptables -A INPUT -p tcp --dport 587 -j ACCEPT #iptables -A INPUT -p tcp --dport 873 -j ACCEPT iptables -A INPUT -p tcp --dport 989 -j ACCEPT iptables -A INPUT -p tcp --dport 990 -j ACCEPT iptables -A INPUT -p tcp --dport 993 -j ACCEPT iptables -A INPUT -p tcp --dport 995 -j ACCEPT #iptables -A INPUT -p tcp --dport 3306 -j ACCEPT iptables -A INPUT -p tcp --dport 4000:4029 -j ACCEPT iptables -A INPUT -s 18.97.14.85 -p tcp --dport 10000 -j ACCEPT # ログをとる iptables -A INPUT -m limit --limit 1/s -j LOG --log-level debug --log-prefix 'INPUT DROP:' iptables -A INPUT -j DROP iptables -A FORWARD -m limit --limit 1/s -j LOG --log-level debug --log-prefix 'FORWARD DROP:' iptables -A FORWARD -j DROP /etc/rc.d/init.d/iptables save /etc/rc.d/init.d/iptables start
chmod 700 /root/iptables/iptables_setup.sh /root/iptables/iptables_setup.sh chkconfig iptables on
Copyright(C) systemexpress.co.jp All Rights Reserved. Author Takayuki Yukawa