読者です 読者をやめる 読者になる 読者になる

DRYな備忘録

Don't Repeat Yourself.

iptablesの基本的な設定

まずやっておきたいこと

  • INPUTは全部閉める
  • 特定のものだけ開ける
otiai10 [11:50 AM] 
@kinunori: iptablesの設定って、上のほうと下のほうの行で衝突したらどっち優先です?

kinunori [11:51 AM] 
上です first matchですん

k-sato [11:51 AM] 
ue

taiji.yamazaki [11:51 AM] 
上からですー

otiai10 [11:51 AM] 
情報が溢れる時代

otiai10 [11:52 AM]
じゃ、とりあえず一番したで iNPUT ぜんぶ DROP みたいなのするのが定石っすかね

kinunori [11:52 AM] 
ですね

kinunori [11:53 AM]
Chain INPUT (policy ACCEPT) こうなっているものを

kinunori [11:53 AM]
Chain INPUT (policy DROP) にすれば

kinunori [11:53 AM]
マッチしないものは全てDROPになるので安全です

otiai10 [11:53 AM] 
:ok_woman:

kinunori [11:53 AM] 
:sushi:

otiai10 [11:53 AM] 
22と80だけ開ける、みたいなのを上に書く、と

kinunori [11:54 AM] 
yes

otiai10 [11:54 AM] 
勉強なるますmm

kinunori [11:55 AM] 
あと、  state RELATED,ESTABLISHED  これを忘れずに

kinunori [11:55 AM]
TCPのセッション状態を記憶して戻りパケットとかを明示的に書かなくても通してくれまする

otiai10 [11:56 AM] 
なるほどわからん

kinunori [11:56 AM] 
おまじないと覚えておけばよいかも

kinunori [11:56 AM]
とりあえず、一番上に

k-sato [11:56 AM] 
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

kinunori [11:56 AM] 
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

kinunori [11:56 AM]
これ書いておけばいいっす

kinunori [11:57 AM]
ちゃんと説明すると長くなる

otiai10 [11:57 AM] 
:sweat_drops: