池田です。 > 宮尾です。 > 宮尾です >> -----Original Message----- >> From: 池田 大輔 [mailto:world_yawaraka@xxxxxxxxxxx] >> Sent: Monday, December 18, 2006 12:36 AM >> To: vine-users ML >> Subject: [vine-users:075596] Re: セキュリティーについて >> http://vine.1-max.net/ >> 上記のページとまったく同じようにエディタで編集されたということでしょう > か。 >> できればそのスクリプトを載せていただけるとiptablesについてなにかアドバ >> イスできるかと思います。 >> (上記のページのとおりなら大丈夫かと思いますが) > 上記の設定に追加してメールのパケットを不許可にするため、コメントアウトし > セキュリティーを厳しくしました。コメントアウトしてない設定のみ下記に抜粋 > して > 記載します。 > [root@wing-server root]# more /etc/ppp/firewall-masq > #!/bin/bash > WAN='eth0' # 外部インタフェース > LAN='192.168.1.0/24' # 各自の環境に設定してください > modprobe ip_conntrack_ftp > /etc/init.d/iptables stop > iptables -P INPUT DROP # 受信はすべて破棄 > iptables -P FORWARD DROP # 通過はすべて破棄 > iptables -P OUTPUT ACCEPT # 送信はすべて許可 > iptables -A INPUT -i lo -j ACCEPT > iptables -A INPUT -s $LAN -j ACCEPT > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -N fragment > iptables -A fragment -j LOG --log-prefix '[iptables FRAGMENT] ' > iptables -A fragment -j DROP > iptables -A INPUT -f -j fragment > iptables -N net-bios > iptables -A net-bios -j LOG --log-prefix '[iptables NETBIOS] ' > iptables -A net-bios -j DROP > iptables -A INPUT -s ! $LAN -p tcp -m multiport --dports > 135,137,138,139,445 -j net-bios > iptables -A INPUT -s ! $LAN -p udp -m multiport --dports > 135,137,138,139,445 -j net-bios > iptables -A OUTPUT -d ! $LAN -p tcp -m multiport --sports > 135,137,138,139,445 -j net-bios > iptables -A OUTPUT -d ! $LAN -p udp -m multiport --sports > 135,137,138,139,445 -j net-bios > iptables -N ping-death > iptables -A ping-death -m limit --limit 1/s --limit-burst 4 -j ACCEPT > iptables -A ping-death -j LOG --log-prefix '[iptables PING DEATH] ' > iptables -A ping-death -j DROP > iptables -A INPUT -p icmp --icmp-type echo-request -j ping-death > echo 1 > /proc/sys/net/ipv4/tcp_syncookies > echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts > iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset > iptables -A INPUT -s $LAN -p tcp --dport 22 -j ACCEPT > iptables -A INPUT -p tcp --dport 22 -j ACCEPT > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -p tcp --dport 443 -j ACCEPT > iptables -A INPUT -j LOG --log-prefix '[iptables INPUT DROP] ' > iptables -A INPUT -j DROP > iptables -A FORWARD -j LOG --log-prefix '[iptables FORWARD DROP] ' > iptables -A FORWARD -j DROP > /etc/rc.d/init.d/iptables save > service iptables restart > [root@wing-server root]# みたところループバックへのパケットはすべて許可、LAN外へのnet-bios関連の パケットはドロップ、LAN外へはssh、http、httpsのみ許可するようになってま すね。 最初のメールのnmapでのスキャンはループバックへのスキャンなので、起動し ポートを使用しているサービスがすべて表示されています。 LAN内の別マシンから、またLAN外からスキャンしてみてください。 LANの構成にもよりますが、22、80、443以外のポートはfilteredもしくはclosed と表示されるともいます。 -------------------------------------- Start Yahoo! Auction now! Check out the cool campaign http://pr.mail.yahoo.co.jp/auction/