id:kichitaka
ポイントあり100pt回答受付終了
ウェブ制作

iptables について質問です。


ローカルipとの通信(送受)はすべて許可
自分自身との通信(送受)は全て許可
特定のipアドレスとのmysql(3306ポート)との通信(送受)は許可
特定のipアドレスとのssh(22ポート)との通信(送受)は許可

それ以外はすべて拒否。

という設定をしたいと思います。どのようにすべきでしょうか?

urlの貼り付けなどではなく具体的に教えて頂ければと思います。

回答の条件
  • 1人1回まで
  • 登録:
  • 終了:2015/02/25 22:15:06
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。
id:kichitaka

質問者から

kichitaka2015/02/19 11:54:13

シンプルに特定のipとの in と out を許可するものでも大丈夫です。

規約違反として通知

回答1件)

id:y-kawaz No.1

回答回数1422ベストアンサー獲得回数226

ポイント100pt

INPUTのデフォルトポリシーをDROPにして個別に開けていくのが簡単かと思います。

 *filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

# loと送信とICMP(ping等)は全て許可
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT

# ローカルIPからの通信は全て許可
-A INPUT -s 10.0.0.0/8 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -j ACCEPT

# 特定のIPとポートの着信を個別に許可
-A INPUT -s 123.4.5.6 -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 123.4.5.6 -m tcp -p tcp --dport 3306 -j ACCEPT
他2件のコメントを見る
id:y-kawaz

基本的にはそれで良いです。OUTPUTの場合は宛先IPで開けていくことになるので、-s の部分を -d にする必要があると思います。

2015/02/19 20:25:49
id:kichitaka

ありがとうございます。

2015/02/19 22:31:41

コメント(0件)

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません
ユーザー登録をして使いはじめる!無料
すでに登録されている方はこちらからログイン
この質問に含まれるキーワード
知りたいことを検索してみよう
▲ページトップへ