基本的に Debian Wiki で調べるんだけど、簡単になったのはまだ書かれていないようだ。
とりあえず、Debian Wiki に書いてあるように、現状の確認。
# iptables -L
おそらく、こんな出力。
Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destination
で、設定で iptables-persistent ってのを使う。
# apt-get install iptables-persistent
設定ファイルができているが、意味ないので修正。内容は Debian Wiki の
*filter
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn’t use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT# Accepts all established inbound connections
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A INPUT -p tcp –dport 80 -j ACCEPT
-A INPUT -p tcp –dport 443 -j ACCEPT# Allows SSH connections
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A INPUT -p tcp -m state –state NEW –dport 22 -j ACCEPT# Now you should read up on iptables rules and consider whether ssh access
# for everyone is really desired. Most likely you will only allow access from certain IPs.# Allow ping
-A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT# log iptables denied calls (access via ‘dmesg’ command)
-A INPUT -m limit –limit 5/min -j LOG –log-prefix “iptables denied: ” –log-level 7# Reject all other inbound – default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECTCOMMIT
を使うが ssh のポート番号に注意。
# vi /etc/iptables/rules.v4
で、中身を入れ替える。
# /etc/init.d/iptables-persistent start
で良いのかと思ったけど、エラーが出たので flush して restart した。
そして
# iptables -L
で確認。
コメント