【Debian 8 Jessie】iptables의 설정을 이것만은 해 둔다
사쿠라 VPS와 데비안 8 Jessie에서 자신의 도메인 웹 사이트를 시작하는 단계
・사쿠라의 VPS(플랜 512)
・Debian 8 Jessie(사쿠라의 VPS 커스텀 인스톨)
의 환경을 전제로 하고 있습니다.
설치 직후 iptables 설정 확인
[hoge]$sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
즉, 모두 허락합니다. 라고 설정되어 있다. 인터넷상에 공개 서버를 세우는 이상, 최소한의 설정은 해 두어야 합니다.
iptables-persistent 설치
iptables를 관리하는 iptables-persistent를 설치합니다.
[hoge]$sudo aptitude -y install iptables-persistent
설치하는 동안 IPv4와 IPv6 구성 파일을 만들거나 듣기 때문에 모두 Yes를 선택합니다.
iptables (IPv4) 규칙 설정
IPv4용의 설정 파일을, 이하의 내용으로 모두 재기록한다.
[hoge]$sudo cp /etc/iptables/rules.v4 /etc/iptables/rules.v4.backup
sudo vi /etc/iptables/rules.v4
/etc/iptables/rules.v4*filter
# ループバックは許可する。
# ループバック以外の127.0.0.0/8への接続は拒否する。
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# 確立済の外部から内部への接続を許可する
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 内部から外部への接続はすべて許可する
-A OUTPUT -j ACCEPT
# 外部から内部へのHTTP(80)とHTTPS(443)の接続を許可する
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# 外部から内部へのSSHの接続を許可する
# ポート番号は、/etc/ssh/sshd_config で設定したものと同じにする
-A INPUT -p tcp -m state --state NEW --dport 1234 -j ACCEPT
# 外部から内部へのpingの接続を許可する
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# その他の接続を拒否する
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
설정한 파일을 다시 읽습니다.
[hoge]$sudo netfilter-persistent reload
iptables (IPv6) 규칙 설정
IPv6용의 설정 파일을, 이하의 내용으로 모두 재기록한다.
IPv6의 모든 연결은 거부할 설정으로 설정합니다.
[hoge]$sudo cp /etc/iptables/rules.v6 /etc/iptables/rules.v6.backup
sudo vi /etc/iptables/rules.v6
/etc/iptables/rules.v6*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
설정한 파일을 다시 읽습니다.
[hoge]$sudo netfilter-persistent reload
Reference
이 문제에 관하여(【Debian 8 Jessie】iptables의 설정을 이것만은 해 둔다), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/osktak/items/778287711f7ee0ccec3b
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
iptables를 관리하는 iptables-persistent를 설치합니다.
[hoge]$
sudo aptitude -y install iptables-persistent
설치하는 동안 IPv4와 IPv6 구성 파일을 만들거나 듣기 때문에 모두 Yes를 선택합니다.
iptables (IPv4) 규칙 설정
IPv4용의 설정 파일을, 이하의 내용으로 모두 재기록한다.
[hoge]$sudo cp /etc/iptables/rules.v4 /etc/iptables/rules.v4.backup
sudo vi /etc/iptables/rules.v4
/etc/iptables/rules.v4*filter
# ループバックは許可する。
# ループバック以外の127.0.0.0/8への接続は拒否する。
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# 確立済の外部から内部への接続を許可する
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 内部から外部への接続はすべて許可する
-A OUTPUT -j ACCEPT
# 外部から内部へのHTTP(80)とHTTPS(443)の接続を許可する
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# 外部から内部へのSSHの接続を許可する
# ポート番号は、/etc/ssh/sshd_config で設定したものと同じにする
-A INPUT -p tcp -m state --state NEW --dport 1234 -j ACCEPT
# 外部から内部へのpingの接続を許可する
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# その他の接続を拒否する
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
설정한 파일을 다시 읽습니다.
[hoge]$sudo netfilter-persistent reload
iptables (IPv6) 규칙 설정
IPv6용의 설정 파일을, 이하의 내용으로 모두 재기록한다.
IPv6의 모든 연결은 거부할 설정으로 설정합니다.
[hoge]$sudo cp /etc/iptables/rules.v6 /etc/iptables/rules.v6.backup
sudo vi /etc/iptables/rules.v6
/etc/iptables/rules.v6*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
설정한 파일을 다시 읽습니다.
[hoge]$sudo netfilter-persistent reload
Reference
이 문제에 관하여(【Debian 8 Jessie】iptables의 설정을 이것만은 해 둔다), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/osktak/items/778287711f7ee0ccec3b
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
sudo cp /etc/iptables/rules.v4 /etc/iptables/rules.v4.backup
sudo vi /etc/iptables/rules.v4
*filter
# ループバックは許可する。
# ループバック以外の127.0.0.0/8への接続は拒否する。
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# 確立済の外部から内部への接続を許可する
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 内部から外部への接続はすべて許可する
-A OUTPUT -j ACCEPT
# 外部から内部へのHTTP(80)とHTTPS(443)の接続を許可する
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# 外部から内部へのSSHの接続を許可する
# ポート番号は、/etc/ssh/sshd_config で設定したものと同じにする
-A INPUT -p tcp -m state --state NEW --dport 1234 -j ACCEPT
# 外部から内部へのpingの接続を許可する
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# その他の接続を拒否する
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
sudo netfilter-persistent reload
IPv6용의 설정 파일을, 이하의 내용으로 모두 재기록한다.
IPv6의 모든 연결은 거부할 설정으로 설정합니다.
[hoge]$
sudo cp /etc/iptables/rules.v6 /etc/iptables/rules.v6.backup
sudo vi /etc/iptables/rules.v6
/etc/iptables/rules.v6
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
설정한 파일을 다시 읽습니다.
[hoge]$
sudo netfilter-persistent reload
Reference
이 문제에 관하여(【Debian 8 Jessie】iptables의 설정을 이것만은 해 둔다), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/osktak/items/778287711f7ee0ccec3b텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)