iptables 入門
メーカのルータは「あdソフィアjs歩ふぃjぱ」なので信用しない方がいいって、id:azurestoneさんに教えてもらったので、全裸でサーバのファイアー壁を設定する!
id:hideden id:vkgtaro id:azurestoneさんに教えてもらいながら iptables設定したよ!
# 全部不許可にする /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # 初期化する /sbin/iptables --flush /sbin/iptables --delete-chain # 自分自身を許可させる /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # spoofed? /sbin/iptables -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP " /sbin/iptables -A INPUT -s 255.0.0.0/8 -j DROP /sbin/iptables -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP " /sbin/iptables -A INPUT -s 0.0.0.0/8 -j DROP /sbin/iptables -A INPUT -s 172.16.0.0/12 -j LOG --log-prefix "Spoofed source IP " /sbin/iptables -A INPUT -s 172.16.0.0/12 -j DROP /sbin/iptables -A INPUT -s 10.0.0.0/8 -j LOG --log-prefix "Spoofed source IP " /sbin/iptables -A INPUT -s 10.0.0.0/8 -j DROP # ステルススキャン? /sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attempt " /sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP /sbin/iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # port受け付けるよ /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A INPUT -p tcp -j ACCEPT --dport 80 -m state --state NEW /sbin/iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # port使えるよ /sbin/iptables -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-request /sbin/iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP
service iptables save chkconfig iptables on
/etc/sysconfig/syslog
#KLOGD_OPTIONS="-x" KLOGD_OPTIONS="-x -c 1"
/etc/syslog.conf
#kern.* /dev/console kern.* /var/log/kern
service syslog restart
/etc/logrotate.d/syslog
/var/log/cron /var/log/kern{ # <- 追加