PC ツール
バーチャルマシン(仮想環境) Microsoft Virtual PC でリハーサル用の仮想環境を構築する Microsoft Virtual PC 2007 の導入仮想環境へ Fedora 7 を導入する仮想環境へ Fedora Core 6 を導入する
ターミナルエミュレーターターミナルエミュレーター UTF-8 TeraTerm Pro with TTSSH2
ファイル転送ツールファイル転送ツール WinSCP
圧縮・解凍ツール圧縮・解凍ツール +Lhaca デラックス版

サーバー構築
Fedora Fedora Core 6 の導入 Fedora Core 6 ダウンロード Fedora Core 6 インストール Fedora Core 6 初期設定
NTP サーバー NTP サーバーの構築 NTP の導入
セキュリティ強化セキュリティ強化 SSH サーバーの構築ルートキット検知ツールの導入 [chkrootkit] アンチウィルスソフトウェアの導入 [Clam AntiVirus] ファイアウォール構築 [iptables] 侵入検知システムの導入 [Snort]
プリンタサーバープリンタサーバーの構築 [CUPS + Samba] プリンタサーバーの構築 [CUPS + HPLIP] Microsoft ネットワーク用プリンタ共有の導入 [Samba]
マイドメイン運用マイドメイン運用マイドメインの取得と設定 [VALUE DOMAIN] LAN 環境用 DNS の構築 [BIND] ダイナミック DNS の設定 [DiCE]
メールサーバーメールサーバーの構築 [Sendmail + Dovecot] 送信メールサーバーの構築 [Sendmail] 受信メールサーバーの構築 [Dovecot] ウィルスチェックの導入 [Clam AntiVirus Milter] スパムチェックの導入 [SpamAssassin + SpamAssassin Milter] 送信ドメイン認証対応の導入 [SenderID Milter]
IRC サーバー IRC サーバーの構築 IRCD-Hybrid の導入
IM サーバー Jabber サーバーの構築 ejabberd の導入
データベースサーバーデータベースサーバーの構築 [PostgreSQL] PostgreSQL の導入 PostgreSQL 管理ツールの導入 [phpPgAdmin] データベースサーバーの構築 [MySQL] MySQL の導入 MySQL 管理ツールの導入 [phpMyAdmin]
JMSサーバー JMS サーバーの構築 [ActiveMQ] ActiveMQ の導入
Web サーバー Web サーバーの構築 [Apache] Apache の導入 PHP の導入圧縮通信の有効化 [mod_deflate] 暗号化通信の有効化 [mod_ssl] BASIC 認証を使用したユーザ認証の導入 [mod_auth_basic] WebDAV の導入 [mod_dav]
Web アプリケーションサーバー Web アプリケーションサーバーの構築 [Tomcat] Java の導入 Tomcat の導入 Tomcat 管理ツールの導入 [Lambda Probe] Apache 連携 [mod_proxy_ajp]
FTP サーバー FTP サーバーの構築 [vsFTPd] vsFTPd の導入
コンテンツマネジメントシステムブログ用 CMS の導入 [WordPress] WordPress の導入 Wiki 用 CMS の導入 [PukiWiki] PukiWiki の導入 SNS 用 CMS の導入 [OpenPNE] OpenPNE の導入
ソフトウェア構成管理ツールソフトウェア構成管理ツールの導入 [Subversion + Trac] バージョン管理システムの導入 [Subversion + mod_dav_svn] バグトラッキングシステムの導入 [Trac + mod_python]
運用・監視ツール運用・監視ツールの導入サーバー監視ツールの導入 [Munin] iptables ログ解析ツールの導入 [IPTables log analyzer] Snort 解析ツールの導入 [BASE] アクセス解析ツールの導入 [AWStats]
セキュリティ診断ツールセキュリティ診断ツールの導入セキュリティスキャナーの導入 [Nessus]

ホーム > セキュリティ強化

ファイアウォール構築 (iptables)

サーバー上で iptables を使用してファイアウォールを構築する手順について説明します。
尚、ルーターを導入している環境では、ルーター側でも最低限のファイアウォール設定をしておくことをお勧めします。

設定

iptables の設定は iptables コマンドで行っていきます。iptables コマンドは実行するとシステムに即反映されるため、 iptables コマンドでの設定方法によってはコンソールから直接実行すると、途中で入力を受け付けなくなり制御できなくなる可能性があります。そのためここでは一連の iptables コマンドでの設定変更をシェルとして作成し実行させます。

1. /root ディレクトリに iptables 設定用シェルファイルを作成します。

# vi /root/iptables.sh
#!/bin/bash

iptables サービスを停止し、すべてのルールをクリアします
service iptables stop
iptables -F
iptables -X

原則ルールとして入力をすべて破棄します。
iptables -P INPUT DROP
原則ルールとして出力をすべて許可します。
iptables -P OUTPUT ACCEPT
原則ルールとして通過をすべて破棄します。
iptables -P FORWARD DROP

断片化されたパケットはログに記録して破棄します。
iptables -N LOG_FRAGMENT
iptables -A LOG_FRAGMENT -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES FRAGMENT] : '
iptables -A LOG_FRAGMENT -j DROP
iptables -A INPUT -f -j LOG_FRAGMENT

ループバックインターフェースからのアクセスはすべて許可します。
iptables -A INPUT -i lo -j ACCEPT
LAN 環境からのアクセスはすべて許可します。
iptables -A INPUT -s 192.168.11.0/24 -i eth0 -j ACCEPT
LAN 環境からのアクセスに対する外部からの応答アクセスを許可します。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

ブロードキャストおよびマルチキャストパケットを破棄します。
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -d 224.0.0.1 -j DROP

メールサーバなどのレスポンス低下防止のため、113 番ポート (IDENT 要求) へのアクセスを拒否します。
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset
HTTP ポート (TCP:80) へのアクセスを許可します。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
HTTPS ポート (TCP:443) へのアクセスを許可します。
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
SMTP ポート (TCP:25) へのアクセスを許可します。
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
POP3 ポート (TCP:110) へのアクセスを許可します。
iptables -A INPUT -p tcp --dport 110 -j ACCEPT

設定変更を iptables 設定ファイルへ保存します。
service iptables save
iptables サービスを起動します。
service iptables start

2. 作成した iptables 設定用シェルファイルのアクセス権を変更します。

# chmod 700 /root/iptables.sh

3. iptables 設定用シェルファイルを実行します。

# /root/iptables.sh
Saving firewall rules to /etc/sysconfig/iptables:          [  OK  ]
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]

4. Fedora Core 6 初期設定で無効化した iptables の自動起動を有効にします。

# chkconfig iptables on