iptables
iptablesコマンドはパケットのフィルタリングを実現させるものです。
ファイアウォール、パケットフィルタリングサーバはこんな感じのものが
綿密に設定されてるわけですね。
自分は参考サイトを丸々コピペで実証できました。
まず、
# service iptables stop
で該当サーバからフィルタリング外して
telnetで外からログインしました。
ではこれからフィルタリングをするも、telnetだけはできるようにします。
# service iptables start
スタートさせます。すでにtelnetで入っていれば拒否されません。
スタートさせたのは、stop状態だと編集されなかったからです。
# iptables -P INPUT DROP
これで受信は全拒否になります。
当然この時点で新たなtelnet接続はできなくなります。
# iptables -L
これでみると
Chain INPUT (policy DROP)
と出ます。基本パケット破棄ですよと。
# iptables -A INPUT -p tcp --dport 23 -j ACCEPT
# iptables -A INPUT -p tcp --sport 23 -j ACCEPT
これで
・追加(-A)
・受信の場合(INPUT)
・TCPプロトコル(-p tcp)
・宛先23ポート(--dport 23)、送信元23ポート(--sport 23)
・該当した場合、パケットを通す(-j ACCEPT)
となります。
どこでも言われてますが、基本拒否で
必要最低限を許可する手法でいきます。
こんな感じで、他のポートを許可したり、
IPアドレスによって制御できます。
(IPアドレス送信元:-s 192.168.0.0/24)
(IPアドレス送信先:-d 192.168.0.0/24)
