- PR -

iptablesの設定についてご質問

1
投稿者投稿内容
広瀬若葉
会議室デビュー日: 2004/08/25
投稿数: 6
投稿日時: 2005-09-21 07:21
初めまして、龍巻と申します。

早速のご質問ですが、現在、Linux(FC3/4)でWeb/Mail/FTPを立ち上げています。
基本的に市販のブロードバンドルーターで必要なポートだけしか開けていません。
ただ、市販だけに高度な設定が出来るわけでは無いため、Linux側でさらなる制御
を行っています。

一番問題なのが、ICMPです。ルーターで返答を許可するリモートホストを限定を
する場合、IPアドレスでなければいけなく、また設定数も限られています。
PoD攻撃や、Smurf攻撃などの問題や、稼働サーバーの存在を無意味に知られたく
無いため、基本的に下手に外部からPing要求などは受け付けたく有りません。

しかし、昨今のセキュリティ事情からそうも言ってられない事情があります。
そこで、ICMPの応答要求をLAN内と特定リモートホストからだけに許可した場合は
どのように設定をすればいいのか、いまいち判断つきません。

$IPTABLES -A INPUT -s $RMHOST -p icmp --icmp-type 8 -j ACCEPT
$IPTABLES -A OUTPUT -d $RMHOST -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A OUTPUT -d $RMHOST -p icmp --icmp-type 8 -j ACCEPT
$IPTABLES -A INPUT -s $RMHOST -p icmp --icmp-type 0 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

iptables -N spoofing
iptables -A spoofing -j LOG --log-prefix '[iptables SPOOFING] '
iptables -A spoofing -j DROP

iptables -N ping-death
iptables -A ping-death -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A ping-death -j LOG --log-prefix '[iptables PING DEATH] '
iptables -A ping-death -j DROP

註1:$RMHOSTは許可したいリモートホストの変数定義です。
註2:INPUT/OUTPUT/FORWARDは基本ポリシーは全てDROPです。

などと適当に考えてみたのですが、要領得ないところがあるので皆様のお力を拝借
させて頂きたいと思います。宜しくお願い致します。

kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-09-21 07:37
おはようございます.

source となる IP/network address を明示的に指定しているようですし,
それでよいのでは?
はしもと
大ベテラン
会議室デビュー日: 2003/02/05
投稿数: 182
投稿日時: 2005-09-21 17:00
spoofing や ping-death も含めての質問なら、
これらにジャンプする部分も提示した方が良いでしょう。

引用:

iptables -N ping-death
iptables -A ping-death -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A ping-death -j LOG --log-prefix '[iptables PING DEATH] '
iptables -A ping-death -j DROP


これは、Ping of Death ではなく Ping Flood だと思います。
1

スキルアップ/キャリアアップ(JOB@IT)