2009年12月23日

[Apache-Users 7583] Re:iptables で yum

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **

早間です。
> 今の設定
>
> #! /bin/sh
>

> myhost='192.168.0.3'
> any='0.0.0.0/0'
>
> #Flush & Reset
> iptables -F
> iptables -X
>
> #Default Rule
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> #www ANY -> myhost
> iptables -A INPUT -p tcp -s $any -d $myhost --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp -s $myhost --sport 80 -d $any -j ACCEPT
>

OUTPUT の場合こんなに厳しくしなくても
iptables -A OUTPUT -s $myhost -j ACCEPT
位が良いと思います。また、このホストから dns への問い合わせもあり
得るので(ログの取り方にもよるでしょうが)、行き過ぎだと思います。

> iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
も必要だと思います。

> iptables -A FORWARD -i lo -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
icmp も echo-reply,echo-request は異論があるかも知れませんが次の
icmp は許可して置いた方が良いように思います。

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type port-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT

FORWARD は設定される目的が解りませんがこのホストへのアクセスを考え
るときには必要ないと思います。

-- 早間
--
入退会・変更・配送一時停止は以下へ
http://www.apache.jp/mailman/listinfo/apache-users


投稿者 xml-rpc : 2009年12月23日 14:31
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/91660
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。