【鉄壁】iptablesの使 ..
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
607:login:Penguin 08/07/17 20:01:22 btY7UUii クライアント用途なら >>173 のようなパーソナルファイアウォール的な --cmd-owner でやるのが適しているんじゃないの? 608:login:Penguin 08/07/17 22:02:01 nfCUoiJG 602 すいません。厳しいの意味がわかりません。 603 現在このマシンでサーバーを立てる予定はありません。 そうゆう意味でいいですか? つまり想定しているのはクライアント専用です。 そこからLinuxの世界に入れてもらおうと思っています。 609:login:Penguin 08/07/17 22:45:05 aqSb7+WT >>601 このへんから始めたら。 modprobe ip_conntrack_ftp iptables -P INPUT DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -P OUTPUT DROP iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -m limit --limit 1/s --limit-burst 5 -j LOG --log-level warning --log-prefix "bad OUTPUT packet: " iptables -P FORWARD DROP で、最初は大量にbad OUTPUTなログが出るから、ログを見ながら必要なものを OUTPUTのログ指定の前に足していけばいい。必要そうなものは例えば iptables -A OUTPUT -p udp -m udp --sport bootpc -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport domain -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport http -j ACCEPT iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT てな具合。インタフェース指定やポートの細かい限定などは、 意味があるとき以外はしないでいいっしょ。管理するの面倒だし。 あと、把握できてないルールはつけない。
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
4681日前に更新/298 KB
担当:undef