- PR -

iptablesの設定

1
投稿者投稿内容
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-01-30 09:55
 http://www.geocities.co.jp/SiliconValley-Bay/9678/iptables.html
を参考にiptableの設定をしております。私の実験したいことと、このサイトでやろうとしていることとは同じと考えてください。

 そのページの中ほどにかります、
#
# reply
# 接続が確立したパケットの応答は許可(ACCEPT)
#
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT

の部分ですが、当@ITのフィルタリングの例

http://www.atmarkit.co.jp/flinux/rensai/security05/security05b.html

では
-----------------------------------------------------------------------------
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 25 -s $ANY -d $R_MAIL -j ACCEPT
-----------------------------------------------------------------------------
のように ! --syn をつけています。(比較するものが違うかも分かりませんが・・・)

 首記のサイトの設定は
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
で問題はないのでしょうか。 

H2
ぬし
会議室デビュー日: 2001/09/06
投稿数: 586
お住まい・勤務地: 港
投稿日時: 2003-01-30 11:03
「! --syn」 をつけるとは外からの新規のコネクション以外のパケットにマッチします。

「--state RELATED」だと、外からの新規のコネクションにマッチする可能性があります。Relatedなので、既存のコネクションに関係した新規のコネクションのパケット(synフラグがたっている)にもマッチすることになります。試したことはありませんが、たとえばFTPなんかでFTPサーバからクライアントにデータコネクションを開く時には便利なんではないでしょうか。

私は「! --syn」 の方が安全かなと思いますけどね。

[ メッセージ編集済み 編集者: H2 編集日時 2003-01-30 11:03 ]
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-01-30 17:30
 ご返答ありがとうございます。遅くなって申し訳ありませんでした。
なるほど了解しました。

 さて、今回の@ITの設定

http://www.atmarkit.co.jp/flinux/rensai/security05/security05b.html

は、

http://www.atmarkit.co.jp/flinux/rensai/security05/security05b.html

にあるようにインターネットサーバー群をゲートウェイ&ファイアーウォールマシンの下に全て置いて、ローカルアドレスで設定し、ポートフォワードを行うことを前提としていつようですが、この場合、ファイアーウォールマシン以下のdns,mail,webサーバーには個別でiptableなどでフィルタリングを行う必要はないというふうに解釈してよいのでしょうか。

 「ファイアーウォールマシンだけでほとんど問題ない!」という答えを期待しております(管理が楽なので)。

 よろしくアドバイスほどお願いします。
ふじい
大ベテラン
会議室デビュー日: 2002/05/07
投稿数: 123
お住まい・勤務地: 東京
投稿日時: 2003-01-31 18:32
こんにちは、ふじいです。

引用:

okumuraさんの書き込み (2003-01-30 17:30) より:

にあるようにインターネットサーバー群をゲートウェイ&ファイアーウォールマシンの下に全て置いて、ローカルアドレスで設定し、ポートフォワードを行うことを前提としていつようですが、この場合、ファイアーウォールマシン以下のdns,mail,webサーバーには個別でiptableなどでフィルタリングを行う必要はないというふうに解釈してよいのでしょうか。

 「ファイアーウォールマシンだけでほとんど問題ない!」という答えを期待しております(管理が楽なので)。


というか、許した通信以外はできないですよね?
外からのアクセスはファイアーウォールマシンを通過しなければいけないですからね。

逆に言うとそれぞれ個別のマシンでフィルタリングが必要なら、ゲートウェイの方でしてたほうがネットワーク資源を有効に使えますよね。

レイヤー4での防御策はそれでいいんじゃないですか?

あとはレイヤー7、つまり通信の中身とか考えるのもいいですね。たとえばメールの中のウイルスをチェックするとかそういう話ですね。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-01-31 18:53
 なるほど。ご回答ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)