Linux で自宅サーバ [ Home Server Techncial ]

>>トップページに戻る

BBS 過去ログ No.0006に戻る

タイトル: iptablesの設定についての疑問。
記事No: 1657
投稿日: 2004/03/11(Thu) 02:37
投稿者: Asya   <asya@system-k.mydns.jp>
始めまして。Linuxの設定でこちらのページを参考にさせてもらっています。

このHPのセキュリティ強化対策「iptables編」を参考に設定していたところ、以下の疑問を感じました。

# iptables -A INPUT -p tcp -j ACCEPT
# iptables -A INPUT -p udp -j ACCEPT

この二つの設定を行うと、こちらのHPでは「全てのポートを許可するわけではない」という記述がありますが、実際に設定して試したところ、全てのポートを許可してしまいました。
他の設定は全て同じに設定してあります。(INPUTはDROPになっています)
これは私の設定が悪いのでしょうか?
開いているままではセキュリティ上まずいので上記二つの設定は消していますが、そうすると空けているポート以外を使うアプリケーションで、サーバ機からの接続も出来なくなってしまいます。(apt-getを使いたいのですがそれですらできなくなってしまいます)
現在は
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
を追加し、確立されたセッションのパケットは許可する設定を付け加えています。

実際のところ、あの2行は本当に全てのポートを許可するわけではないのでしょうか?

タイトル: Re: iptablesの設定についての疑問。
記事No: 1661
投稿日: 2004/03/14(Sun) 21:59
投稿者: mf
> 始めまして。Linuxの設定でこちらのページを参考にさせてもらっています。
> > このHPのセキュリティ強化対策「iptables編」を参考に設定していたところ、以下の疑問を感じました。
> > # iptables -A INPUT -p tcp -j ACCEPT
> # iptables -A INPUT -p udp -j ACCEPT
> > この二つの設定を行うと、こちらのHPでは「全てのポートを許可するわけではない」という記述がありますが、実際に設定して試したところ、全てのポートを許可してしまいました。
> 他の設定は全て同じに設定してあります。(INPUTはDROPになっています)
> これは私の設定が悪いのでしょうか?
> 開いているままではセキュリティ上まずいので上記二つの設定は消していますが、そうすると空けているポート以外を使うアプリケーションで、サーバ機からの接続も出来なくなってしまいます。(apt-getを使いたいのですがそれですらできなくなってしまいます)
> 現在は
> $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> を追加し、確立されたセッションのパケットは許可する設定を付け加えています。
> > 実際のところ、あの2行は本当に全てのポートを許可するわけではないのでしょうか?



はじめまして。私も最近iptablesの設定する際にこちらのページを参考にさせていただきました。
「セキュリティ強化対策『iptables編』」に確かに

> これは、全てのポートを許可するというワケではありません。最終的にどのポートを許可(もしくは拒否)するかは、個別に設定しなければなりません。
> # iptables -A INPUT -p icmp -j ACCEPT
> # iptables -A INPUT -p tcp -j ACCEPT
> # iptables -A INPUT -p udp -j ACCEPT

とありますがその後ポート別の設定が行われ、最後にちゃんと

> 個別に設定したルール以外の INPUT は全て拒否する
>
> INPUT についてのルールを再定義しています
> # iptables -P INPUT DROP

とありますので、最終的に「全てのポートを許可するわけではない」となるのではないでしょうか。


ただ個人的にはデフォルトのルールは「拒否」で

iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
・・・

といった具合に許可する条件やポートを追加していく設定の方が良いのではと思います。

▲ページの最上部に戻る

Copyright© Home Server Technical. All Right Reserved.
webmaster@miloweb.net