Fedora Core 1 で Firewall 構築

<< 前のエントリー

次のエントリー >>

entry000444
Fedora Core 1 で Firewall 構築

miz 2004-12-18 10:44
続いて，Firewall としての設定を行います．

現在契約しているプロバイダはグローバル IP を一つしかもらえないので，IP Masquerade を使用して複数のクライアントがインターネットにアクセスできるよう設定します．さらに，iptables でパケットフィルタリングの設定を行い，接続可能なホスト，使用可能なサービスを制限します．
今回は，Linux Box で提供するサービスはローカル向きの SSH だけとします．また，IP Masquerade はローカル --> グローバルのみを許可します．
MTEntryMore
この設定を順に実行する過程で，一時的にセキュリティーが低下するステップがあります．下記を step-by-step で実行する際は十分に注意してください．なるべく，下記設定を理解した上でスクリプト化するなどして，セキュリティーが低下している時間をなくすよう対策を行ってください．
1. IP packet forwarding の設定
  最初に，複数 NIC 間でのパケットのやりとりを有効に設定します．
```
# echo 1 > /proc/sys/net/ipv4/ip_forward
```
  ただし，上記設定は再起動を行うと元に戻ってしまいます．そこで /etc/sysctl.conf の以下の行を "1" に変更します．
```
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
```
2. 幾つかの iptables 以外の設定
  Linux Box をネットワークに接続するにあたって，セキュリティの観点から幾つかの設定項目を変更します．
```
# cd /proc/sys/net/ipv4
# echo 1 > icmp_echo_ignore_broadcasts
# for i in conf/*/accept_source_route; do
> echo 0 > $i
> done
# for i in conf/*/accept_redirects; do
> echo 0 > $i
> done
```
  それぞれ以下のような設定です．
  - Broadcast の PING (echo request) を拒否します．Broadcast PING はサブネット内のマシンを検出する目的で使われることがあります．
  - IP のソースルートオプションを無視します．ソースルートは IP パケットが経由すべきネットワークノードを明示的に指定するものです．これを使用すると man-in-the-middle 攻撃も可能となる場合があります．
  - IP のリダイレクトオプションを無視します．これは，何だっけな・・・．
3. SSH のみの提供
  最初に，グローバル向きのインタフェースからのパケットをすべて破棄します．
```
# iptables -A INPUT -i ppp0 -j DROP
```
  続いてローカル向きインタフェースへの SSH (22 番ポート) を許可します．
```
# iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
```
  最後に，上記にマッチしなかった場合の処理を定義します．
```
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
```
4. IP Masquerade の設定
  ppp0 から出てゆくパケットは IP Masquerade の対象とします．
```
# iptables -t nat -P POSTROUTING ACCEPT
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# iptables -t nat -P PREROUTING ACCEPT
```
5. 保存
  以上の設定は，再起動すると消えてしまします．設定を保存しておきましょう．
```
# /etc/rc.d/init.d/iptables save
```
簡単な設定の手順は以上です．以下，更に詳細なルールを設定するにあたっての参考に．
- TCP, UDP は大抵の場合 in と out の双方のパケットがあってはじめて意味をなします．どちらか一方のみを許可し，もう一方を拒否している場合は正常な通信が行えません．
- TCP の 3 way handshake を理解しましょう．--syn で SYN パケットを引っ掛けることができるので，自分がクライアントなのかサーバーなのかで異なるルールを設定することができます．ポートによる振り分けの際にはどちらなのかを意識しましょう．
comments

<< 前のエントリー

次のエントリー >>

registComment

コメントを登録する

麦酒堂ではコメントスパムを防止するために，いただいたコメントは管理人が手動でサイトに反映しております．反映までしばらく時間がかかりますので予めご了承ください．

スープカレー	[10 entries]
AH-K3001V	[5 entries]
Beer	[1115 entries]
Books	[11 entries]
Camera	[17 entries]
Cygwin	[10 entries]
iPhone	[2 entries]
Java	[9 entries]
JavaScript	[8 entries]
Linux	[71 entries]
mac	[12 entries]
Movabletype	[15 entries]
.NET	[2 entries]
Photos	[24 entries]
PHP	[8 entries]
Ruby	[7 entries]
Underground	[11 entries]
WX310SA	[4 entries]
早起きブログ	[11 entries]

2011年10月	[4 entries]
2011年09月	[8 entries]
2011年08月	[23 entries]
2011年07月	[3 entries]
2011年06月	[15 entries]
2011年05月	[15 entries]
2011年04月	[8 entries]
2011年03月	[19 entries]
2011年02月	[13 entries]
2011年01月	[11 entries]
2010年12月	[21 entries]
2010年11月	[10 entries]
2010年10月	[12 entries]
2010年09月	[14 entries]
2010年08月	[11 entries]
2010年07月	[13 entries]
2010年06月	[12 entries]
2010年05月	[17 entries]
2010年04月	[13 entries]
2010年03月	[23 entries]
2010年02月	[18 entries]
2010年01月	[17 entries]
2009年12月	[22 entries]
2009年11月	[13 entries]
2009年10月	[6 entries]
2009年09月	[11 entries]
2009年08月	[33 entries]
2009年07月	[19 entries]
2009年06月	[16 entries]
2009年05月	[17 entries]
2009年04月	[15 entries]
2009年03月	[16 entries]
2009年02月	[35 entries]
2009年01月	[11 entries]
2008年12月	[20 entries]
2008年11月	[18 entries]
2008年10月	[18 entries]
2008年09月	[16 entries]
2008年08月	[12 entries]
2008年07月	[11 entries]
2008年06月	[18 entries]
2008年05月	[15 entries]
2008年04月	[4 entries]
2008年03月	[13 entries]
2008年02月	[13 entries]
2008年01月	[10 entries]
2007年12月	[11 entries]
2007年11月	[21 entries]
2007年10月	[11 entries]
2007年09月	[16 entries]
2007年08月	[11 entries]
2007年07月	[14 entries]
2007年06月	[24 entries]
2007年05月	[20 entries]
2007年04月	[15 entries]
2007年03月	[29 entries]
2007年02月	[24 entries]
2007年01月	[21 entries]
2006年12月	[14 entries]
2006年11月	[14 entries]
2006年10月	[26 entries]
2006年09月	[28 entries]
2006年08月	[16 entries]
2006年07月	[37 entries]
2006年06月	[30 entries]
2006年05月	[27 entries]
2006年04月	[25 entries]
2006年03月	[32 entries]
2006年02月	[22 entries]
2006年01月	[31 entries]
2005年12月	[19 entries]
2005年11月	[25 entries]
2005年10月	[37 entries]
2005年09月	[14 entries]
2005年08月	[30 entries]
2005年07月	[23 entries]
2005年06月	[16 entries]
2005年05月	[33 entries]
2005年04月	[14 entries]
2005年03月	[12 entries]
2005年02月	[26 entries]
2005年01月	[16 entries]
2004年12月	[28 entries]
2004年11月	[10 entries]
2004年10月	[19 entries]
2004年09月	[13 entries]
2004年08月	[17 entries]
2004年07月	[19 entries]
2004年06月	[10 entries]
2004年05月	[16 entries]
2004年04月	[17 entries]
2004年03月	[32 entries]
2004年02月	[23 entries]
2004年01月	[35 entries]
2003年12月	[29 entries]
2003年11月	[25 entries]
2003年10月	[15 entries]

名前
email
URI
名前，アドレスを Cookie に保存しますか？ YesNo
コメント