このWebサイトは、管理人が個人的に書き留めている備忘録です。それ以上でもそれ以下でもありません。 誤記・誤解・誤謬を含め、記述内容の確度を一切保証しません。責任を負いません。問い合わせ等を受け付けません。
このWebサイトは、管理人が個人的に書き留めている備忘録です。それ以上でもそれ以下でもありません。 誤記・誤解・誤謬を含め、記述内容の確度を一切保証しません。責任を負いません。問い合わせ等を受け付けません。
VPSにiptablesをとりあえず設定してみる ♪8thNote♪ | ウェブ・モバイル系開発のブログ ファイアウォール構築(iptables) - Fedoraで自宅サーバー構築 # ポリシー iptables -P INPUT DROP iptables -P FORWORD DROP iptables -P OUTPUT ACCEPT # 内部からのアクセスに対する応答を許可 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # ping許可 iptables -A INPUT -p icmp -j ACCEPT # ssh許可 iptables -A INPUT -p tcp --dport 2222 -j ACCEPT # 自分(lo)からの接続を許可 iptables -A INPUT -i lo
blog@browncat.org Web, Linux, Ubuntu, Mac, PDA, 携帯電話, プログラミング, ソフトウェア&落書き iptablesのオプションは間違うとひどいことになりますが、うまく動くと素晴らしい。わずか2行でsshへの総当り攻撃を防ぐことが出来る方法。知っている方には何をいまさらですが、不勉強な私は知りませんでした。ネタは以下のリンクです。 TechBlog - How to: Block brute force attacks with iptables(英文) 自宅サーバを立ち上げている方やサーバ管理をされている方は一度や二度はsshへの総当り攻撃を見たことがあると思います。私のところではログインする元がほぼ決まっているので/etc/hosts.allowにSSHで接続を許可するホスト/ネットワークを指定しており、これでほとんど問題ありません。 そ
Setup eth0:0 † 1 枚の NIC に 2 つの IP Address を割り振るため、alias の設定をする。 /etc/sysconfig/network-scripts/ifcfg-eth0:0 を以下の内容で作成。 # Intel Corporation 82540EM Gigabit Ethernet Controller DEVICE=eth0:0 BROADCAST=192.168.62.255 HWADDR=00:07:E9:09:C0:CD IPADDR=192.168.62.1 IPV6ADDR= IPV6PREFIX= NETMASK=255.255.255.0 NETWORK=192.168.62.0 ONBOOT=yes ↑ change yum's repository † yum のリポジトリを速いところに変更しておく。riken がよさそう。
・外部からの接続パケットは基本的にすべて破棄 ・内部からの接続パケットは基本的にすべて破棄 ・ループバックアドレスに関してはすべて許可 ・メンテナンスホストからのping、メンテナンスホストへのpingを許可 ・メンテナンスホストからのssh(TCP 22)を許可 ・ただし、最初の接続時にSYNで始まらない接続パケットは破棄 ・サーバからメンテナンスホストへのsshは許可しない iptablesの特徴であるステートフルパケットフィルタを使用し、より厳密なチェックを行います。ステートフルパケットフィルタとは、パケットの時間的な前後関係まで判断し、接続状態の追跡を行うパケット制限です。受信したパケットが既存の接続の一部なのか、新しい接続の最初のパケットなのかを見極めることができます。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く