まずやっておきたいこと
- INPUTは全部閉める
- 特定のものだけ開ける
otiai10 [11:50 AM] @kinunori: iptablesの設定って、上のほうと下のほうの行で衝突したらどっち優先です? kinunori [11:51 AM] 上です first matchですん k-sato [11:51 AM] ue taiji.yamazaki [11:51 AM] 上からですー otiai10 [11:51 AM] 情報が溢れる時代 otiai10 [11:52 AM] じゃ、とりあえず一番したで iNPUT ぜんぶ DROP みたいなのするのが定石っすかね kinunori [11:52 AM] ですね kinunori [11:53 AM] Chain INPUT (policy ACCEPT) こうなっているものを kinunori [11:53 AM] Chain INPUT (policy DROP) にすれば kinunori [11:53 AM] マッチしないものは全てDROPになるので安全です otiai10 [11:53 AM] :ok_woman: kinunori [11:53 AM] :sushi: otiai10 [11:53 AM] 22と80だけ開ける、みたいなのを上に書く、と kinunori [11:54 AM] yes otiai10 [11:54 AM] 勉強なるますmm kinunori [11:55 AM] あと、 state RELATED,ESTABLISHED これを忘れずに kinunori [11:55 AM] TCPのセッション状態を記憶して戻りパケットとかを明示的に書かなくても通してくれまする otiai10 [11:56 AM] なるほどわからん kinunori [11:56 AM] おまじないと覚えておけばよいかも kinunori [11:56 AM] とりあえず、一番上に k-sato [11:56 AM] RETURN all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED kinunori [11:56 AM] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT kinunori [11:56 AM] これ書いておけばいいっす kinunori [11:57 AM] ちゃんと説明すると長くなる otiai10 [11:57 AM] :sweat_drops: