iptablesで、特定のIPアドレスからのアクセスを拒否する

iptables に、特定のIPアドレスからのアクセスを拒否する設定を追加する手順を、簡単にまとめておきます。

iptables の設定ファイル/etc/sysyconfig/iptables を直接編集する方法ではなく、ここでは iptablesコマンドを使います。

特定のIPアドレスからのアクセスですので、TCPもUDPなどプロトコルを限定しないで、すべて拒否しますので、プロトコルは指定しません。 また、ユーザ定義のチェイン RH-Firewall-1-INPUT が、次のように設定されていることを前提とします。

[root ~]# vim /etc/sysconfig/iptables ~略~ *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT ~略~

それでは、特定のIPアドレスからのアクセスを拒否する設定を追加してみます。

[root ~]# iptables -A RH-Firewall-1-INPUT -s 123.145.167.189 -j DROP

この時点で、iptables の動作に動的に反映されますので、実行には十分な注意を払う必要があります。コマンド内容を丁寧に確認してから、実行してください。

コマンドを実行後に、設定内容を確認します。

[root ~]# iptables -L ~略~ Chain RH-Firewall-1-INPUT (2 続きを読む »