iptablesで、特定のIPアドレスからのアクセスを拒否する

iptables に、特定のIPアドレスからのアクセスを拒否する設定を追加する手順を、簡単にまとめておきます。

iptables の設定ファイル/etc/sysyconfig/iptables を直接編集する方法ではなく、ここでは iptablesコマンドを使います。

特定のIPアドレスからのアクセスですので、TCPもUDPなどプロトコルを限定しないで、すべて拒否しますので、プロトコルは指定しません。 また、ユーザ定義のチェイン RH-Firewall-1-INPUT が、次のように設定されていることを前提とします。

[root ~]# vim /etc/sysconfig/iptables ~略~ *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT ~略~

それでは、特定のIPアドレスからのアクセスを拒否する設定を追加してみます。

[root ~]# iptables -A RH-Firewall-1-INPUT -s 123.145.167.189 -j DROP

この時点で、iptables の動作に動的に反映されますので、実行には十分な注意を払う必要があります。コマンド内容を丁寧に確認してから、実行してください。

コマンドを実行後に、設定内容を確認します。

[root ~]# iptables -L ~略~ Chain RH-Firewall-1-INPUT (2 続きを読む »

2014年8月11日 14:39 SATOSHI カテゴリ: セキュリティ, ファイアウォール タグ:  コメントは受け付けていませんm(__)m 

iptables の設定を確認する

/etc/iptablesを設定し、iptablesを再起動した後で、設定の反映状態を確認するためには、次のコマンドを実行します。

コマンド/オプション 機能の説明 iptables -L iptablesの設定を詳細表示する(IPアドレスを名前解決してホスト名で表示する) iptables -L -n iptablesの設定を詳細表示する(IPアドレスを名前解決しないで表示する)

2012年1月12日 13:33 SATOSHI カテゴリ: ファイアウォール タグ:  コメントは受け付けていませんm(__)m 

iptables のパケットフィルタリング設定の記述先ファイル

Linux におけるファイアウォールとして使われる iptables のパケットフィルタリング設定は下記ファイルに記述します。

/etc/sysconfig/iptables /etc/sysconfig/ip6tables

なお、iptables の動作設定は下記ファイルに記述されています。

/etc/sysconfig/iptables-config /etc/sysconfig/ip6tables-config

2011年11月22日 14:48 SATOSHI カテゴリ: セキュリティ, ファイアウォール タグ: , ,  コメントは受け付けていませんm(__)m 

“iptables モジュールを読み込み中 ip_conntrack_netbios_ns [失敗]” への対処

Linux のファイアウォールサービス iptables の起動時(再起動時)に、下記のようなメッセージが表示されて、起動に失敗する場合の対処方法です。

[root ~]# service iptables start (略) iptables モジュールを読み込み中ip_conntrack_netbios_ns [失敗] 対処方法

/etc/sysconfig/iptables-config の下記パラメータの設定変更を行う。

IPTABLES_MODULES=”ip_conntrack_netbios_ns” ↓ IPTABLES_MODULES=””

2011年5月15日 19:55 SATOSHI カテゴリ: セキュリティ タグ: ,  コメントは受け付けていませんm(__)m 

lokkitが入ってないのでインストール

ServersMan@VPSには、lokkit がインストールされていませんので、iptables および ip6tables の設定のために、lokkit をインストールして、設定まで行いたいと思います。

1.yumでパッケージ検索 [root ~]# yum provides */lokkit ←これで検索 Loaded plugins: downloadonly, fastestmirror Repository ‘vz-base’ is missing name in configuration, using id Repository ‘vz-updates’ is missing name in configuration, using id Loading mirror speeds from cached hostfile * addons: www.ftp.ne.jp * base: www.ftp.ne.jp * extras: www.ftp.ne.jp * updates: www.ftp.ne.jp system-config-securitylevel-tui-1.6.29.1-5.el5.i386 : 続きを読む »

2011年2月5日 21:24 SATOSHI カテゴリ: セキュリティ, ファイアウォール タグ: , , , , , ,  コメントは受け付けていませんm(__)m