�X�e�[�g�t���p�P�b�g�t�B���^���g�����T�[�r�X�̌��J�F�K����芵���I iptables�e���v���[�g�W�i1�j�i2/6 �y�[�W�j
�e���v���[�g1
����z�X�g�����ssh�݂̂����i�\�[�XIP�A�h���X�Ő����j
�e���v���[�g1�̑z���
�E�O������̐ڑ��p�P�b�g�͊�{�I�ɂ��ׂĔj��
�E��������̐ڑ��p�P�b�g�͊�{�I�ɂ��ׂĔj��
�E���[�v�o�b�N�A�h���X�Ɋւ��Ă͂��ׂċ���
�E�����e�i���X�z�X�g�����ping�A�����e�i���X�z�X�g�ւ�ping������
�E�����e�i���X�z�X�g�����ssh�iTCP 22�j������
�E�T�[�o���烁���e�i���X�z�X�g�ւ�ssh�͋����Ȃ�
�@�T�[�o�ɐڑ�����[���������e�i���X�z�X�g�Ƃ��ČŒ肵�āA���������ssh�ڑ��݂̂�������悤�ɂ��܂��Bssh�ȊO�ɁA�^�p��T�[�o�̎������Ď�����ړI��ping�R�}���h���g�p����\�������邽�߁AICMP�������܂��B
�@�e���v���[�g1�̓��e��������܂��B�K�X�A�ȉ��̃����N�Ń��X�g��\�������邩�e���v���[�g���_�E�����[�h���Ă��������B
�@
�e���v���[�g1�̉��
�@3�A4�s�ڂŃ����e�i���X�z�X�g�itrusthost�j�ƃT�[�o�imyhost�j��IP�A�h���X���w�肵�܂��B�����̒l�͉��x���g�p���邽�߁A�V�F���X�N���v�g�̗��_�����ĕϐ��Ƃ��Ė��ߍ��݂܂��B����2�s�͊F����̊��ɍ��킹�āA�K�X���������Ă��������B
�@5�s�ڂŕs����N���C�A���g���w�肵�܂��B����ȊO�ɂ��s����N���C�A���g��\�����@�͂���܂����A�{�A�ڂł͂��̕\�L��p���܂��B
�@10�A11�s�ڂ́A������iptables�̐ݒ�����Z�b�g���Ă��܂��B
�@15�s�ڂ���悤�₭�ݒ�炵���Ȃ�܂��B�܂��A���ׂĂ̑���M�p�P�b�g��j���iDROP�j���܂��Biptables�̊�{�́A��������l�b�g���[�N���ӂ�������A�p�r�ɉ����Č����J����悤�Ƀ��[����lj����Ă����܂��B�����ł́A����3�ɑ�ʂ����p�P�b�g��j�����܂��B
- ���M�悪��M�����z�X�g���g�ł���p�P�b�g�iINPUT�`�F�C���j
- �z�X�g���g�Ő������ꂽ�p�P�b�g�iOUTPUT�`�F�C���j
- ��M�����p�P�b�g�̑��M�悪�ʂ̃z�X�g�ł���p�P�b�g�iFORWARD�`�F�C���j
�}�@INPUT�AOUTPUT�AFORWARD�`�F�C���@�u�`�F�C���v�Ƃ������t�Ɍ˘f����������܂���B����́A�u�t�B���^���[�����W�߂ă��W���[�����������́v�Ɨ������Ă��������ł��傤�B�`�F�C����p���邱�ƂŁA�p�ɂɎg�p�����ׂ������[��������������`����K�v���Ȃ��Ȃ�܂��B
�@15�s�ڂ́u-P INPUT�v�́AINPUT�`�F�C���Œ�`���ꂽ�p�P�b�g�̔j���iDROP�j���w�肵�Ă��܂��B���l�ɁA16�s�ڂ́u-P OUTPUT�v��OUTPUT�`�F�C���A17�s�ڂ́u-P FORWARD�v��FORWARD�`�F�C���̔j����ݒ肵�܂��B
�@21�A22�s�ڂŁA���[�v�o�b�N�C���^�[�t�F�C�X���o�R���邷�ׂĂ̑���M�p�P�b�g�̒ʉ߂������܂��B�u-i�v�Ŏ�M���C���^�[�t�F�C�X�A�u-o�v�ő��M���C���^�[�t�F�C�X���w�肵�܂��B����ŃT�[�o����T�[�o���g�ւ̃��[�J���ڑ������ׂċ����邱�Ƃ��ł��܂��B
�@26�A27�s�ڂ́A�����e�i���X�z�X�g����T�[�o�ւ�ping�������郋�[���̒lj��ł��Bping�́A�urequest�v�i26�s�ځj�Ƃ���ɓ�����ureply�v�i27�s�ځj���ŕK�v�Ȃ��Ƃ�Y��Ȃ��悤�ɂ��Ă��������B
�@31�A32�s�ڂ́A�T�[�o���烁���e�i���X�z�X�g�ւ�ping�������郋�[���ł��B���M�Ǝ�M������ւ�邽�߁A26�A27�s�ڂɂ�����\�[�X�z�X�g�i�u-s �z�X�g�܂��̓l�b�g���[�N�v�j�ƃf�B�X�e�B�l�[�V�����z�X�g�̎w��i�u-d �z�X�g�܂��̓l�b�g���[�N�v)�AINPUT�^OUTPUT�`�F�C��������ւ���Ă��܂��B
�@36�A37�s�ڂ��̐S��ssh�̐ݒ�ł��B����́A�P�Ƀ\�[�XIP�A�h���X�����Ő������|���Ă��܂��B
36 iptables -A INPUT -p tcp -s $trusthost -d $myhost --dport 22 -j ACCEPT 37 iptables -A OUTPUT -p tcp -s $myhost --sport 22 -d $trusthost -j ACCEPT
-p tcp�@�v���g�R����TCP
-s $trusthost�@�\�[�XIP�A�h���X��$trusthost
-d $myhost�@�f�B�X�e�B�l�[�V����IP�A�h���X��$myhost
--dport 22�@�f�B�X�e�B�l�[�V�����|�[�g��22
--sport 22�@�\�[�X�|�[�g��22
-j ACCEPT�@ACCEPT����
�@41�s�ڈȍ~�ŊĎ��̐ݒ���s���܂��B37�s�ڂ܂łœ��Ɏw�肵�Ȃ������p�P�b�g�Ɋւ��ẮA�w�肵�����[���Ń��O�t�@�C���ɂ��̎|���L�^����悤�ɂ��܂��B�܂�41�s�ڂŐV���ȃ`�F�C���uLOGGING�v��Ǝ��ɒ�`���܂��B
�@42�s�ڂł́A�u--log-level�v�Ń��O���x����warning�ɐݒ肵�A�u--log-prefix�v�Ń��O�̓��ɁuDROP:�v��t����悤�ɂ��Ă��܂��B���̂܂܂ł͂��ׂĂ̖����p�P�b�g���L�^���Ă��܂��A�T�[�o�ɐV���ȕ��ׂ��|����\��������܂��B�����ŁA�u-m limit�v��臒l��݂��A臒l�͈͓̔��Ō��o���ꂽ�s���p�P�b�g�̃��O���o�͂��܂��Blimit�̃f�t�H���g�́A����p�^�[���̕s���p�P�b�g�ɑ��A1���Ԃɍő�3��̃��O�o�́A�A�������ꍇ�ɂ�5��̏o�͂��s���܂��B
�@43�s�ڂŖ����p�P�b�g�̔j���iDROP�j���w�肵�A���O�o�͂̌�ɔj�������悤�ɂ��܂��B
�@44�A45�s�ڂŁAINPUT�����OUTPUT�`�F�C���ɑ��A����LOGGING���s����悤�ɐݒ肵�܂��B
�t�B���^�̓K�p�Ɗm�F
�@�V�F���X�N���v�g�̏������ł�����A�����t�B���^�̃��Z�b�g���܂߂ăt�B���^�̓K�p���s���܂��B
# sh template1.sh
�@�ݒ���e���`�F�C�����Ƃɕ\�����邱�Ƃ��ł��܂��B�V�F���X�N���v�g�Őݒ肵���Ƃ���ɂȂ��Ă��邩�ǂ������m�F���܂��B
# iptables -nL Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 192.168.10.100 192.168.20.200 icmp type 8 ACCEPT icmp -- 192.168.10.100 192.168.20.200 icmp type 0 ACCEPT tcp -- 192.168.10.100 192.168.20.200 tcp dpt:22 LOGGING all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 192.168.20.200 192.168.10.100 icmp type 0 ACCEPT icmp -- 192.168.20.200 192.168.10.100 icmp type 8 ACCEPT tcp -- 192.168.20.200 192.168.10.100 tcp spt:22 LOGGING all -- 0.0.0.0/0 0.0.0.0/0 Chain LOGGING (2 references) target prot opt source destination LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `DROP:' DROP all -- 0.0.0.0/0 0.0.0.0/0
�@���O��/var/log/messages�ɏo�͂���܂��Bdmesg�R�}���h�Ŋm�F���邱�Ƃ��ł��܂��B
# tail /var/log/messages | grep DROP Mar 4 20:34:12 localhost kernel: DROP:IN= OUT=eth0 SRC=192.168.XX.XX DST=XX.XX.XX.XX LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=11786 SEQ=1 Mar 7 02:13:54 localhost kernel: DROP:IN=eth0 OUT= MAC=:XX:XX:XX:XX: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=192.168.XX.XX DST=192.168.XX.XX LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=13425 DF PROTO=TCP SPT=2825 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 �i�ȉ����j
�����̃q���g�F�l�b�g���[�N�P�ʂ̎w����@
�@�e���v���[�g1�ł́A�����e�i���X�z�X�g��1��̃N���C�A���g�Ɍ��肵�Ă��܂��B������A192.168.10.0�`192.168.10.255�̂悤�Ƀl�b�g���[�N�P�ʂŎw�肷�邱�Ƃ��\�ł��B���̏ꍇ�́A3�s�ڂ����̂悤�ɕύX���܂��B
3 trusthost='192.168.10.0/24'
�@���̂ق��A�z�X�g�̎w��Ƀz�X�g�����g�����Ƃ��ł��܂����A�z�X�g�������̂��߂�DNS�𗘗p�ł���悤��iptables�̐ݒ���C������K�v������܂��B�܂��A�z�X�g���U���̊댯���������邽�߁AIP�A�h���X���g�p��������]�܂����ł��傤�B
Copyright © ITmedia, Inc. All Rights Reserved.
��IT eBook
���ڂ̃e�[�}
ITmedia�̓A�C�e�B���f�B�A������Ђ̓o�^���W�ł��B