2012年03月16日

LAN内に置くサーバのiptablesの設定は必要か?RHEL6.2

LAN内に置くサーバのiptablesの設定は必要か?

■LAN内からの攻撃に備えない。
■LANのファイヤーオールを信頼している。
■サーバをルータとして使用しない。
ということを前提にして、iptablesの細かい設定はやめました。
しかし、もし、万が一のために、
外部からのアクセスは、すべて許可しない設定にします。

iptablesの設定スクリプト
********************************************
# インターフェース名定義
LAN=br0

# 内部ネットワークのネットマスク取得
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`

# 内部ネットワークアドレス取得
LOCALNET_ADDR=`netstat -rn |grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK

# firewall停止
/etc/rc.d/init.d/iptables stop

# 初期化
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# デフォルトルール定義
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# LoopBack許可
iptables -A INPUT -i lo -j ACCEPT

# 内部からのアクセス許可
iptables -A INPUT -s $LOCALNET -j ACCEPT

# 内部から行ったアクセスに対する外部からの返答アクセス許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 再起動時にもルールを保存
/etc/rc.d/init.d/iptables save

# ファイアウォール起動
/etc/rc.d/init.d/iptables start
********************************************
これを実行。

サービスの起動状態を確認
#service iptables status

#iptables -L
コマンドで確認。

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- 99.99.99.0/21 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

iptablesの起動設定
# chkconfig --list | grep iptables
iptables 0:off 1:off 2:off 3:off 4:off 5:off 6:off

# chkconfig iptables on

# chkconfig --list | grep iptables
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off



このエントリーをはてなブックマークに追加

にほんブログ村 IT技術ブログ IT技術メモへ←もし、役立つ情報だったらクリックお願いします。 <<

この記事へのトラックバックURL

http://trackback.blogsys.jp/livedoor/kumagai_nori/52249682