iptables 設定方法
はじめに
- iptables INPUT, filter のみの基本設定となります。OUTPUT, FORWARD については案内していません。
- 実際の運用に当たっては、マニュアルページ、関連書籍、Webサイト等を利用し、お客様にて理解を深めた上で設定していただきますようお願いします。
- ビジネスプラン、ファーストプランユーザ向けの VNC接続 (ウィンドウマネージャ) にてご利用の場合、[ システム ] > [ 管理 ] > 『 セキュリティレベルとファイヤーウォールの設定』より、iptables の簡易的な設定を行っていただくことも可能ですが、こちらで設定していただいた場合、既存設定の上書きが行われます。
- 下記、「( 参考:実施結果 )」は初期の設定となっています。9 行目は SSH 接続の設定となりますので、修正の際はご注意ください。サービス追加(HTTPなど)による設定追加の際は、最終行以上の設定(「(参考:実施結果)」9行目、10行目間)を推奨します。
- SSH接続、VNC接続後の「端末(アプリケーション > アクセサリ > GNOME 端末)」より操作を行っていただけます。
- 下記コマンドによる設定のほか、設定ファイル (/etc/sysconfig/iptables) を直接編集していただいても設定を行うことが可能です。( 「 設定ファイル編集操作 」 にて、iptables の再起動を行い、設定を反映してください。)
設定例
※ コマンドの先頭の "#(シャープ)" はシェルのプロンプトを示しますので、入力不要です。
ルール確認
※ コマンド内、RH-Firewall-1-INPUT の後ろの数字は、ラインナンバーとなります。
"( 参考:実施結果 )"より数字を記載していますので、設定の際はご利用の設定に合わせて実行してください。
| # /sbin/iptables -L --line-number |
( 参考:実施結果 ) |
ルール追加
・ 任意のネットワークからの HTTP アクセス許可
( Chain RH-Firewall-1-INPUT の 10 行目に追記 )
| # /sbin/iptables -I RH-Firewall-1-INPUT 10 -p tcp --dport 80 -j ACCEPT |
・ 信頼できる特定ホスト IP からの HTTP アクセス許可
( Chain RH-Firewall-1-INPUT の 10 行目に追記 )
| # /sbin/iptables -I RH-Firewall-1-INPUT 10 -p tcp -s [信頼できるホストIP] --dport 80 -j ACCEPT |
ルール変更
・ 信頼できる特定ホスト IP からの SSH のみ許可へ変更する
| # /sbin/iptables -R RH-Firewall-1-INPUT 9 -p tcp -s [信頼できるホストIP] -m state --state NEW --dport 22 -j ACCEPT |
ルール削除
・ Chain RH-Firewall-1-INPUT ラインナンバー 9 の設定削除
| # /sbin/iptables -L --line-number (<= 対象ラインナンバーを確認 ) # /sbin/iptables -D RH-Firewall-1-INPUT 9 |
ルール保存
※ 下記コマンドを実行しないと設定が保存されません。
| # /etc/init.d/iptables save |
設定ファイル編集時操作
・ iptables 再起動
| # service iptables restart |
