iptablesで、特定のIPアドレスからのアクセスを拒否する

iptables に、特定のIPアドレスからのアクセスを拒否する設定を追加する手順を、簡単にまとめておきます。

iptables の設定ファイル/etc/sysyconfig/iptables を直接編集する方法ではなく、ここでは iptablesコマンドを使います。

特定のIPアドレスからのアクセスですので、TCPもUDPなどプロトコルを限定しないで、すべて拒否しますので、プロトコルは指定しません。 また、ユーザ定義のチェイン RH-Firewall-1-INPUT が、次のように設定されていることを前提とします。

[root ~]# vim /etc/sysconfig/iptables ~略~ *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT ~略~

それでは、特定のIPアドレスからのアクセスを拒否する設定を追加してみます。

[root ~]# iptables -A RH-Firewall-1-INPUT -s 123.145.167.189 -j DROP

この時点で、iptables の動作に動的に反映されますので、実行には十分な注意を払う必要があります。コマンド内容を丁寧に確認してから、実行してください。

コマンドを実行後に、設定内容を確認します。

[root ~]# iptables -L ~略~ Chain RH-Firewall-1-INPUT (2 続きを読む »

iptables の設定を確認する

/etc/iptablesを設定し、iptablesを再起動した後で、設定の反映状態を確認するためには、次のコマンドを実行します。

コマンド/オプション 機能の説明 iptables -L iptablesの設定を詳細表示する(IPアドレスを名前解決してホスト名で表示する) iptables -L -n iptablesの設定を詳細表示する(IPアドレスを名前解決しないで表示する)

iptables のパケットフィルタリング設定の記述先ファイル

Linux におけるファイアウォールとして使われる iptables のパケットフィルタリング設定は下記ファイルに記述します。

/etc/sysconfig/iptables /etc/sysconfig/ip6tables

なお、iptables の動作設定は下記ファイルに記述されています。

/etc/sysconfig/iptables-config /etc/sysconfig/ip6tables-config

ip6tables 設定のために lokkit をインストール

lokkit の過去の関連記事では、ServersMan@VPSのCentOS 32bit版でした。 今回は64bit版であり、ServersMan@VPSでの「初期化」を行いましたので、その初期化された環境でどういうインストールが必要なのかを紹介し、lokkit のインストールについてまとめておきたいと思います。

ServersMan@VPSのCentOS、Debian GNU/Linux、UbuntuそれぞれのOSの64bit版ではIPv6に完全対応しているということで、ip6tables の利用が可能になっています。したがって、iptables-ipv6 パッケージが既にインストールされています。

ところが、32bit版と同様に、ip6tables の設定に便利な lokkit が入っていません。

1.lokkit のパッケージの検索 [root ~]# yum provides */lokkit Loaded plugins: fastestmirror, priorities Loading mirror speeds from cached hostfile * base: www.ftp.ne.jp * epel: ftp.kddilabs.jp * extras: www.ftp.ne.jp * rpmforge: fr2.rpmfind.net * updates: www.ftp.ne.jp 277 packages excluded due to repository priority protections system-config-securitylevel-tui-1.6.29.1-6.el5.x86_64 : 続きを読む »

lokkitが入ってないのでインストール

ServersMan@VPSには、lokkit がインストールされていませんので、iptables および ip6tables の設定のために、lokkit をインストールして、設定まで行いたいと思います。

1.yumでパッケージ検索 [root ~]# yum provides */lokkit ←これで検索 Loaded plugins: downloadonly, fastestmirror Repository ‘vz-base’ is missing name in configuration, using id Repository ‘vz-updates’ is missing name in configuration, using id Loading mirror speeds from cached hostfile * addons: www.ftp.ne.jp * base: www.ftp.ne.jp * extras: www.ftp.ne.jp * updates: www.ftp.ne.jp system-config-securitylevel-tui-1.6.29.1-5.el5.i386 : 続きを読む »