ようこそ!浜村拓夫の世界へ

    ブログ内検索

    最近の記事

    ブックマーク数の多い記事

    Blog Translation

    Powered By FC2ブログ

    Powered By FC2ブログ
    ブログやるならFC2ブログ


    FC2ブログ LOGIN

    with Ajax Amazon

    さくらのVPS ファイヤーウォールの設定

    このエントリーを含むはてなブックマーク はてなブックマーク - さくらのVPS ファイヤーウォールの設定 あとで読む
    さくらのVPS インストールまとめ - 浜村拓夫の世界

    さくらのVPS(CentOS)で、ファイヤーウォール(パケット・フィルタリング)の設定を行ない、不正なアタックを防御します。

    (1) lokkitコマンドで設定ファイルの雛型を作る。
    (2) iptablesコマンドで詳細を設定する。





    ●設定例
    (参考) さくらVPSのFireWallを設定して要塞化する

    ●lokkitでデフォルトの設定を作成
    ・lokkitで、設定ファイルの雛型を作ります。
    ・リモートコンソールでlokkitを実行すると、ちょっと画面が崩れていて見づらかったです。

    (参考) 7.ファイアウォールの簡易設定(lokkit)

    lokkit



    項目を選択してスペースキーを押します。

    Security Level: (*) Enable(有効)
    SELinux: Disabled


    SELinuxは、無効(Disabled)にしておきます。

    Customize(カスタマイズ)


    を選択します。

    Allow incoming:
    [*] SSH
    [*] WWW (HTTP)
    [*] Secure WWW (HTTPS)


    とりあえず、HTTP、HTTPS、SSHの利用を選択しておきます。

    OK



    この操作で、以下のような設定ファイルが生成されます。

    # Firewall configuration written by system-config-securitylevel
    # Manual customization of this file is not recommended.
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :RH-Firewall-1-INPUT - [0:0]
    -A INPUT -j RH-Firewall-1-INPUT
    -A FORWARD -j RH-Firewall-1-INPUT
    -A RH-Firewall-1-INPUT -i lo -j ACCEPT
    -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
    -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
    -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
    -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
    -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
    -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
    -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
    -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
    -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
    COMMIT



    ●SSHのポート番号、MySQLのポート番号を追加
    ファイヤーウォールの設定ファイルを開いて、編集します。

    vi /etc/sysconfig/iptables



    以下のように追記します。

    # Firewall configuration written by system-config-securitylevel
    # Manual customization of this file is not recommended.
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :RH-Firewall-1-INPUT - [0:0]
    -A INPUT -j RH-Firewall-1-INPUT
    -A FORWARD -j RH-Firewall-1-INPUT
    -A RH-Firewall-1-INPUT -i lo -j ACCEPT
    -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
    -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
    -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
    -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
    -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
    -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
    -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 12345 -j ACCEPT ← SSHのポート番号変更
    -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
    -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
    -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT ← MySQLのポート番号追加
    -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
    COMMIT



    ・再起動して、設定を反映させます。

    /etc/rc.d/init.d/iptables restart



    ・ファイヤーウォールの設定確認

    iptables -L



    【2012/04/15 追記 ここから】
    ・自動起動の設定

    chkconfig iptables on



    ・自動起動の確認

    chkconfig --list iptables



    iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off


    こんなかんじで、ランレベル(動作モード)の2から5がonになっていればOK

    (参考) ランレベル - Wikipedia
    【2012/04/15 追記 ここまで】

    ファイヤーウォールの豆知識


    ●ファイヤーウォールとは?
    ファイアーウォール - Wikipedia

    ファイアーウォール(防火壁)とは、ある特定のコンピュータネットワークとその外部との通信を制御し、内部のコンピュータネットワークの安全を維持することを目的としたソフトウェア(あるいはそのソフトウェアを搭載したハードウェア)の技術概念である。
    外部から内部のコンピュータネットワークへ侵入しようとするクラッキング行為を火事にたとえ、それを食い止めるものとして防火壁という表現を用いている。



    Linuxには、「Netfilter」というファイヤーウォールの機能が用意されており、「iptables」というコマンドで詳細を設定できます。
    iptables - Wikipedia

    Linuxカーネル2.4以降では、netfilterというパケット処理のためのフレームワークをもっており、これを制御するツールの実装がiptablesとなっている。



    ●lokkitとは?
    GNOME Lokkit

    GNOME Lokkitでは、基本的なiptablesネットワーク規則を作成することによって、標準的ユーザーのファイアウォール設定を行うことができます。このプログラムでは、規則を書き込む代わりに、ユーザーに対してシステムの使用に関する一連の質問を行い、それをファイル/etc/sysconfig/iptablesに書き込みます。
    テキストベースのプログラムを使用する場合は、lokkitコマンドを使用して、テキストモードバージョンのGNOME Lokkitを起動します。



    (参考)iptablesコマンドの使い方
    6.2.パケットフィルタリングとIPマスカレード
    https://www.fmmc.or.jp/~fm/nwts/rh_linux/ch6/6_2.html
    iptablesによるパケットフィルタリング
    http://linux.kororo.jp/cont/security/iptables.php

    独習Linux独習Linux
    小林 準

    翔泳社 2007-01-25
    売り上げランキング : 152999

    Amazonで詳しく見る
    by G-Tools


    実践CentOSサーバルート養成講座実践CentOSサーバルート養成講座
    田鍬 享

    秀和システム 2009-06
    売り上げランキング : 253219

    Amazonで詳しく見る
    by G-Tools


    さくらのVPS インストールまとめ - 浜村拓夫の世界
    関連記事

    コメント

    コメントの投稿


    管理者にだけ表示を許可する

    トラックバック

    トラックバックURL:
    http://hamamuratakuo.blog61.fc2.com/tb.php/635-fc7d60d3

    FC2Ad