[vine-users:074876] Re: iptables について

[joe shimamura <free-zep@xxxxxxxxxxxxxxxxx>]

joe です。

On Tue, 8 Aug 2006 17:16:50 +0900
"endo osamu" <biblical_dawn@xxxxxxxxx> wrote:

> 初心者向きのiptablesの設定を教えてください。（ウェブができて、メールが送れて、ダウンロードができるくらい）

簡単な設定を書きました。ログを取る設定はしていません。

メール、ウェブなど、通常の使用に必要な設定をしてあります。切り取り線内を
切り取って、myiptables-setting.sh などの好きなファイル名にして、
/etc/sysconfig/network-scripts などの好きなディレクトリにコピーし、

# chmod 740 /etc/sysconfig/network-scripts/myiptables-setting.sh

として、起動時に毎回実行するようにしてください。

--- 切り取り線 --------------------------------------------------------------
#!/bin/sh

#
# 定数の定義
#

IPTABLES="/sbin/iptables"
LAN_IFACE="eth0"
LO_IFACE="lo"

/sbin/depmod -a

#
# Required modules
#

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_state

#
# Non-Required modules
#

/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ip_conntrack_ftp

#
# 全てのルールを破棄
#

$IPTABLES -F
$IPTABLES -X

#
# 基本ポリシー
#

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

#
# ユーザ定義のチェイン
#

$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets

#
# OUTPUT chain
#

# bad_tcp_packets チェインの設定
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

# allowed チェインの設定
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# udp の設定
$IPTABLES -A udpincoming_packets -p UDP --dport 53 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP --sport 53 -j ACCEPT

# icmp の設定

$IPTABLES -A icmp_packets -p ICMP --icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP --icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP --icmp-type 11 -j ACCEPT

#
# INPUT chain
#

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $LAN_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE -j udpincoming_packets
$IPTABLES -A INPUT -p ICMP -i $LAN_IFACE -j icmp_packets

#
# OUTPUT chain
#

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -j ACCEPT
--- 切り取り線 --------------------------------------------------------------

--
joe shimamura