2014年07月18日

[VPS]iptableについて調べてみたメモ

blogramランキング参加中!

はじめてのCentOS6 Linuxサーバ構築編 (TECHNICAL MASTER)

新品価格
¥3,240から
(2014/7/17 23:52時点)



ついにさくらのVPSを契約したマスタカです。
そんなわけで初期設定をごにょごにょしてます

VPS大手のさくらだと初期設定マニュアルがあるので
これにそって進めてます
http://support.sakura.ad.jp/manual/vps/start/

マニュアル記載のiptableだけまったく知らなかったので
コマンド関係を調べてみた

・マニュアル
http://support.sakura.ad.jp/manual/vps/security/iptables.html


・iptable
ポート開け閉めするフィヤウォール
INPUT
OUTPUT
FORWARD
があって、各々に対して対応する


・コマンド系
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
--tcp-flags
TCP のフラグでパケットをマッチさせるのに利用する。これはふたつの引数を取り、まず最初の引数では検討するフラグのリスト (マスク)、そして 2番目で、"1" にセットされているべき (ON になっている) フラグのリストを指定す
なので全部マッチさせてNONEのやつdropさせてる


iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
「--syn」は「--tcp-flags SYN,RST,ACK SYN」でSYNだけがセットされているTCPパケット
state NEWで新コネクション
なのでSYNがない新コネクションはdrop


iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
全部対象で全部のフラグがたってる場合drop


iptables -A INPUT -i lo -j ACCEPT
loはローカルループバックと呼ばれる仮想的なインターフェース


iptables -A INPUT -p icmp -j ACCEPT
icmpはpingが使うプロトコル


iptables -A INPUT -p tcp -m tcp --dport ** -j ACCEPT
指定したポートへのアクセスを許可


iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
上記以外のinputはすべてdrop
ouputはフィルタする必要ないからaccept
ってところですかね


・ポートが空いてるかどうかの調べ方
iptableの設定したってうまく行ってる分からないので調べ方
telnet ip port番号
でおk。
これで
Connection closed by foreign host
がでるかタイムアウトが出るかでポートが開いてるか分かる


これでちょっとサーバーに関する知識が高まりました
ポート解放閉鎖どうやってんのかなぁとか
ときどき思ってたのですっきりしました。
サービス公開することが最終目的なので続く


・参考
http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/implicitmatches.html
http://www.atmarkit.co.jp/ait/articles/0112/18/news002.html
http://www.turbolinux.com/products/server/10s/manual/command_guide/command_guide/ifconfig.html


タグ:VPS Linux
posted by マスタカ at 00:00 | Comment(0) | TrackBack(0) | プログラミング | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。