やる夫がiptablesの設定をするようです。

iptablesについて

iptablesとは、パケットフィルタを行うソフトウェアです。必要のないポートは塞いでしまいましょう。ファイアウォールとかそんな感じです。

iptables 設定

# /sbin/iptables -L -n Chain INPUT (policy ACCEPT) target     prot opt source               destination Chain FORWARD (policy ACCEPT) target     prot opt source               destination Chain OUTPUT (policy ACCEPT) target     prot opt source               destination

• 全開状態です。危険です。

iptablesの設定方法は、2つあります。一つは現在の状態に対して、追加する方法と、もう一つは、設定ファイルを読み込ませて、設定を反映させる方法です。

コマンドから設定

注意点としては、運用中のサービスへｉｐｔａｂｌｅｓの設定を要するときは、こっちの設定の方がよいです。影響範囲としては、瞬断ですが、arp等の設定が再構築（？）したりして、反映までに導通が出来なくなったりするときがあるようです（あった）。30分くらい重たい状態が続いた・・・。

# /sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT

• 今回の例では、23番（telnet）ポートの開放です。

# /sbin/iptables -L -n Chain INPUT (policy ACCEPT) target     prot opt source               destination ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:23 Chain FORWARD (policy ACCEPT) target     prot opt source               destination Chain OUTPUT (policy ACCEPT) target     prot opt source               destination

• -L オプションはiptablesの設定表示です。
• -n 設定内容のport番号表示です。

設定ファイルから設定

サーバの再起動時に、下記ファイルを読み込みに行きます。再起動後にまたｉｐｔａｂｌｅｓの設定をすることがないように要設定。サーバがデータセンターにあるのに、この記述がされていないと、”telnet”出来なくなったり・・・悲劇です。

• 嘘ですデフォルトは22番（ssh）が設定されているので、然程困ることでもない。

vi /etc/sysconfig/iptables ----- # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT -----

• デフォルトはこんな感じです。

# /sbin/service iptables restart ファイアウォールルールを適用中：                [  OK  ] チェインポリシーを ACCEPT に設定中filter       [  OK  ] iptables モジュールを取り外し中               [  OK  ] iptables ファイアウォールルールを適用中：       [  OK  ]

ポート一覧

よく使うport一覧（デフォルト）です。任意に編集したい場合は”/etc/services”で変更可能です。

ポート番号	サービス
21	ftp
22	ssh
23	telnet
25	smtp
80	http
3128	squid
3306	mysql
5432	postgresql
5801	vnc
8080	tomcat
11211	chache