natテーブルを利用したLinuxルータの作成
サーバとして ・外部からの接続パケットは基本的にすべて破棄 ・ただし接続済み通信のパケットは許可 ・内部からの接続パケットは基本的にすべて許可 ・ループバックアドレスに関してはすべて許可 ・メンテナンスホストからのping、メンテナンスホストへのpingを許可 ・メンテナンスホストからのssh(TCP 22)を許可 ルータとして ・Linuxサーバを経由して外部へ出ていくパケットのソースアドレスを変換 ・内部アドレス→外部アドレス ・内部アドレスやプライベートアドレスが外部に漏れないようにブロック 市販のブロードバンドルータと同じような働きをするLinuxルータを作ります。Linuxサーバに2枚のNICを組み込み、一方にはプロバイダなどから与えられたグローバルアドレス、もう一方にはプライベートアドレスを設定します(以下、グローバルアドレス側を外部ネット、プライベートアドレス側を内部ネットと
iptables の log の管理
[1.1] ログの必要性 IP マスカレードルータを運用する際に注意しなければならないのは, グローバルなインターネットから見た場合, ルータ以下のプライベートIPのマシンからの通信は全てルータが行っている ように見えることである. 例えば, (ルータではなく) プライベートIPマシンがなんらかの不正なアクセスを 行った場合でも, 全てルータがその不正アクセスを行ったように (外部からは) 見える. そのような場合に, ルータ自身が, いつ, どのマシンから, どのマシンへ ルーティングを行ったのかわかっていれば, 不正に利用されてるマシンを特定することができる. 以下では, IPマスカレードルータが適切なログをとる方法を記す. [1.2] ポリシー 専攻ネットワークで運用するIPマスカレードルータでは, 以下のようにログをとる. iptables(8) の機能を利用し, プライベートLA
ファイアウォール構築(iptables) - CentOSで自宅サーバー構築
[root@centos ~]# yum -y install iptables-services ← iptables-servicesインストール [root@centos ~]# vi iptables.sh ← ファイアウォール設定スクリプト作成 (2)IPアドレスリスト更新チェック IPアドレスリストは頻繁に更新されるので、毎日自動でIPアドレスリストの更新有無をチェックし、更新がある場合はファイアウォール設定スクリプトを再起動するようにする。 [root@centos ~]# vi /etc/cron.daily/iplist_check.sh ← IPアドレスリストチェックスクリプト作成 #!/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin # 新旧IPLIST差分チェック件
iptables 参考
LinuxでIPマスカレードおよびパケットフィルタリングを実現するソフトウェアとしてipchains、iptablesがありますが、 カーネルバージョン2.4からiptablesがデフォルトで使用されるため今後使用されていくでしょう。 ipchainsとiptablesを同時に起動することはできません。まずipchainsがロードされているか確認します。 #lsmod を実行し、ipchainsがロードされているのであれば削除します。 #rmmod ipchains iptablesを使用するのであれば、ipchainsは必要ないので削除します。 #rpm -qa | grep ipchains #rpm -e ipchains 次にiptable_natをロードします。 #modprobe iptable_nat 次の3つのモジュールがロードされていればOKです。最後にipt
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://gapo.zive.net/iptables/right.html