人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile
iptables について質問です。

ローカルipとの通信(送受)はすべて許可
自分自身との通信(送受)は全て許可
特定のipアドレスとのmysql(3306ポート)との通信(送受)は許可
特定のipアドレスとのssh(22ポート)との通信(送受)は許可

それ以外はすべて拒否。

という設定をしたいと思います。どのようにすべきでしょうか?

urlの貼り付けなどではなく具体的に教えて頂ければと思います。
●質問者: kichitaka
●カテゴリ:ウェブ制作
○ 状態 :終了
└ 回答数 : 1/1件
▽最新の回答へ
質問者から

シンプルに特定のipとの in と out を許可するものでも大丈夫です。

1 ● y-kawaz
●100ポイント

INPUTのデフォルトポリシーをDROPにして個別に開けていくのが簡単かと思います。

 *filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

# loと送信とICMP(ping等)は全て許可
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT

# ローカルIPからの通信は全て許可
-A INPUT -s 10.0.0.0/8 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -j ACCEPT

# 特定のIPとポートの着信を個別に許可
-A INPUT -s 123.4.5.6 -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 123.4.5.6 -m tcp -p tcp --dport 3306 -j ACCEPT
y-kawazさんのコメント
あ、前提を書いてませんでしたが、これは /etc/sysconfig/iptables に書いた上で service iptables restart する前提で書いてます。
kichitakaさんのコメント
有り難うございます。outputも制限をかけたいのですが :OUTPUT DROP [0:0] として、 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT の INPUTをOUTPUTに変更していけば良いでしょうか?
y-kawazさんのコメント
基本的にはそれで良いです。OUTPUTの場合は宛先IPで開けていくことになるので、-s の部分を -d にする必要があると思います。
kichitakaさんのコメント
ありがとうございます。
関連質問
●質問をもっと探す●

0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ