さくらVPS を勉強用に使ってみた
サーバの勉強用に、さくらのVPSを借りてみた。
やったこと
ここら辺を参考に。
ファイアウォールの設定内容
/etc/sysconfig/iptables を設定してみたは良いものの、
肝心の内容がちんぷんかんぷんだったので、
その意味を調べてみた。
参考
# テーブル名 *filter # チェインの定義 # :チェイン名 デフォルトポリシー [パケットカウント:バイトカウント] # デフォルトポリシーがACCEPTだと、ルールに明示されないパケットは許可。DROPだと破棄。 :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # ユーザー定義チェイン :RH-Firewall-1-INPUT - [0:0] # ローカルホスト宛のパケットはRH-Firewall-1-INPUT で処理 -A INPUT -j RH-Firewall-1-INPUT # ローカルホスト経由のパケットはRH-Firewall-1-INPUT で処理 -A FORWARD -j RH-Firewall-1-INPUT # 受信インタフェースがループバック(lo)なら許可 -A RH-Firewall-1-INPUT -i lo -j ACCEPT # プロトコルがICMP なら許可 -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT # プロトコル番号が50(ESP)なら許可 # ESP(Encapsulated Security Payload) とは、IPsecによる暗号化通信で送受信される、ペイロード(通信内容)を暗号化して付加情報を付け足したもの。 -A RH-Firewall-1-INPUT -p 50 -j ACCEPT # プロトコル番号が51(AH)なら許可 # AH(Authentication Header) とは、IPsecの仕様の一部で、送信元の認証や改ざん防止(完全性の保証)を実現するための仕組み。 # ESPと異なり通信内容の暗号化は行わず、データ本体は平文で送受信される。 -A RH-Firewall-1-INPUT -p 51 -j ACCEPT # プロトコルがUDPかつ、送信先ポートが5353(Multicast DNS)かつ、送信先アドレスが224.0.0.251なら許可 # マルチキャスト DNSとは、米アップルが開発したゼロ・コンフィギュレーション(=何の設定も行わず機器を使用可能にする)技術「Bonjour」において、 # ホスト名の探索に使われている。 -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT # プロトコルがUDPかつ、送信先ポートが631(Internet Printing Protocol)なら許可 # IPPとは、印刷データの送受信や印刷機器の制御を行うプロトコル。 -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT # プロトコルがTCPかつ、送信先ポートが631(Internet Printing Protocol)なら許可 -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT # すでに接続されている通信なら許可 # ESTABLISHED(接続済み)または、RELATED(関連あり) -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 新規の接続かつ、プロトコルがTCPかつ、送信先ポートが***(ssh)なら許可 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport *** -j ACCEPT # 新規の接続かつ、プロトコルがTCPかつ、送信先ポートが80(http)なら許可 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT # ここまでで許可されなかったパケットはICMP-HOST-PROHIBITED を返して拒否 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited # 以上を登録 COMMIT
