206208121
201976962

iptablesの設定方法

対象サービス・プラン
 

ファイアウォール機能であるiptablesは、サーバへ接続させる通信のルールを設定できます。
このページでは、簡易的な設定を一例として紹介します。

注意事項

  • iptablesの設定内容は、サーバへの攻撃対策方法やお客様の利用用途により多岐にわたり、
    このページに紹介する設定の限りではありません。
  • このページは、あくまでも参考としてご覧いただき、実際の設定は、お客様にてサーバへの攻撃対策方法や
    ご利用用途をご確認のうえ追加での対策設定などを、各種参考書籍をもとに行ってください。

前提条件

  • さくらのVPSの標準OS(CentOS 6)がインストールされているサーバが対象です。
  • その他のOSでの設定は、各OSのマニュアルをご確認ください。
  • iptables以外にもセキュリティ対策を行ってください。

ページの先頭へ

iptabelsの設定

サーバにログイン

リモートコンソールやターミナルソフトなどを利用してroot権限を持ったユーザでサーバにログインします。
※ここでは、rootでログインした場合で説明します。
※さくらのVPS ベアメタルプランの場合、1行目は「SAKURA Internet [BareMetal Server SERIVCE]」と表示されます。

設定の確認

iptablesの設定を確認します。

# iptables -L

特にルールは記載されていないため、ルールを設定します。

ルールの設定

ルールの設定について

外部からの不正アクセスに対してサーバを保護するため、最も一般的な攻撃を遮断するようにファイアウォールルールを
追加することが出来ます。
本格的なDDoS攻撃等に対してiptablesのみによる防衛では不十分ですが、ネットワークをスキャンしてセキュリティホールを
突くボットの被害にあうことを先送りにすることができます。

サーバへの攻撃対策のルールを設定します。

# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP ------①
# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP ------②
# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP ------③

※上記はあくまで参考の設定例です。設定例として記載したルールは以下の内容です。
①データを持たないパケットの接続を破棄する
②SYNflood攻撃と思われる接続を破棄する
③ステルススキャンと思われる接続を破棄する

許可する通信の設定

localhostからの通信とpingを許可に設定します。

# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p icmp -j ACCEPT

サーバの利用用途に合わせて許可するポート番号を設定します。

# iptables -A INPUT -p tcp -m tcp --dport ** -j ACCEPT

※「**」は、許可するポート番号です。

[参考]

主なポート番号は以下の通りです。

プロトコルポート番号
HTTP 80
HTTP(SSL) 443
SMTP 25
SMTP(SSL) 465
POP3 110
POP3(SSL) 995
IMAP 143
IMAP(SSL) 993
SSH 22

※ポート番号を変更している場合は、この限りではありません。

確立済みの通信を許可に設定します。

# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

許可した通信以外のサーバに受信するパケットを拒否し、サーバから送信するパケットを許可に設定します。

# iptables -P INPUT DROP
# iptables -P OUTPUT ACCEPT

iptablesの設定を設定ファイルに保存します。

# service iptables save

設定の確認

iptablesの設定ファイルに設定が記載されているか確認します。

# cat /etc/sysconfig/iptables

iptablesの設定を確認します。

# iptables -L

ルールが設定されていれば、「iptablesの設定」は完了です。

さくらのサポート情報

メニューを閉じる