2005年4月14日

[linux-users:104816] Re: iptablesの設定について

Mattunです。

2005/04/14 16:30:40 (Thu, 14 Apr 2005 16:30:40 +0900) に、
<CLELLCCGDNMEBFACKFICIEINCAAA.murayama-tomoki@xxxxx> の
[linux-users:104815] Re: iptablesの設定について において
"Tomoki Murayama" <murayama-tomoki@xxxxx> さんは書きました
〆 ̄ ̄ ̄ ̄ ̄ ̄Quoted Message ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| >redhat で iptables の管理を どうしていいかわからない場合は
| >redhat-config-securitylevel で設定しておかないと 抜けがでないですか?
| >135-139 を 開けることじたいはいいのでけど.

| ご指摘の通り、リブートをかけたところ設定が元に戻ってしまっているようです。
| (再度先ほどの設定で参照可能になる) そこでお訊きしたいのですが、ご指摘の
| 「抜けが出る」とはこういう事なのでしょうか?

設定変更後、iptables-saveコマンドを実行すれば、OS再起動
(iptablesサービス再起動)後も設定が維持されます。
とりあえず、redhat-config-securitylevelが動かない件は置いと
いて、[linux-users:104812]の設定(=全通信許可)で問題ない状況
(*)でいいなら、iptables-saveを実行すればそれで十分です。


(*)や抜けについては、以下の通り。

必要な通信が拒否されちゃってるから全部許可するように設定して
しまう、ってのが、[linux-users:104812]での早間さんの書いた最
初の6行の内容です。

「必要な通信だけ許可して、あとは拒否」がファイアウォール機能
の基本です。
必要な通信が拒否されちゃってるから、それだけを許可するように
設定する、ってのが本来的であり、redhat-config-securitylevel
だとそういう設定にしやすいわけで。
どちらの方法でも全許可設定にはできるけど、特定の通信だけ許可、っ
てルールを、redhat-config-securitylevelを使わずに行うには、
それなりにiptablesに関する知識が必要でしょう。

ただ、インターネットに公開するサーバでもなく、LAN内のクライ
アントも信頼できる(自分しかユーザがいないとか)であれば、ファ
イアウォールを無効化すること自体は問題ないと判断できるでしょ
うから、その方法が一概に悪いとは言えません。
逆に、公開サーバである場合、ファイル共有ポートを何も考えずに
あけてしまうようじゃ問題あるでしょう。その場合には、[linux-users:104812]
で触れられている「LAN 内からのアクセスを認めるには」みたいな
構成にするのが無難です。

--

Mattun
mattun@xxxxx (company)
mattun@xxxxx(home)
http://www.mattun.net/
237D 4E11 2100 C1CE A761 F254 C1B5 54C1 4E76 AB08

投稿者 xml-rpc : 2005年4月14日 16:47
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/10026
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。