さくらのVPS サーバ構築メモ 2 – iptables

iptables を編集してポート制限をかける。

# vi /etc/sysconfig/iptables

*filter
:INPUT   DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT  ACCEPT [0:0]
:SSH - [0:0]
:SERVICE - [0:0]

-A INPUT -i lo -j ACCEPT
-A INPUT -s 10.0.0.0/8 -j DROP
-A INPUT -s 172.16.0.0/12 -j DROP
-A INPUT -s 192.168.0.0/16 -j DROP
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 10 -j ACCEPT
-A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
-A INPUT -p udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m state --state NEW ! --syn -j DROP
-A INPUT -p tcp -m state --state NEW -j SERVICE

-A SSH -m hashlimit --hashlimit 1/m --hashlimit-burst 10 --hashlimit-name sshcon --hashlimit-mode srcip,dstip --hashlimit-htable-expire 60000 -j ACCEPT
-A SSH -m limit --limit 1/m --limit-burst 1 -j LOG --log-level info --log-prefix "[ SSH attack ]: "
-A SSH -j DROP

-A SERVICE -p tcp --dport 22222 -j SSH
-A SERVICE -p tcp --dport 80 -j ACCEPT
-A SERVICE -p tcp --dport 20 -j ACCEPT
-A SERVICE -p tcp --dport 21 -j ACCEPT
-A SERVICE -p tcp --dport 20000:20030 -j ACCEPT

COMMIT
SSH、HTTP、FTPのみ許可しておく。
22222はSSH、20000~20030はFTPのPASVポート範囲。

iptables を再読み込みする。
# /etc/rc.d/init.d/iptables restart




  • このエントリーをはてなブックマークに追加