2015年10月29日木曜日

iptablesの導入と設定

1)firewallの停止を行う
systemctl stop firewalld
systemctl disable firewalld


2)iptableのインストールを行う
yum -y install iptables-services


3)iptablesのサービスの起動を行う
# systemctl start iptables
# systemctl enable iptables


4)以下のiptablesを編集する。(作成途中の段階)

vi /etc/sysconfig/iptables
-------/etc/sysconfig/iptables ---------------------------------------------------------------------------------------
*filter
:INPUT ACCEPT [0:0]                                                          # This is [0:0] Packet byte counter
:FORWARD ACCEPT [0:0]                                                 # This is [0:0] Packet byte counter
:OUTPUT ACCEPT [0:0]                                                     # This is [0:0] Packet byte counter
:to_db1 - [0:0]                                                                      # This is [0:0] Packet byte counter
:to_db2 - [0:0]                                                                     # This is [0:0] Packet byte counter
:to_db3 - [0:0]                                                                     # This is [0:0] Packet byte counter

#-s ソースホスト
#-d ディスティネーションホスト
#-p プロトコル
#-j 条件に合った際のアクションを指定
#-i パケット入力のインターフェースを指定
# ACCEPT(許可)
# REJECT(パケットを拒否し、ICMPメッセージを返信)

## INPUT:外部からサーバに対するパケットを扱うチェイン
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.11.0/255.255.255.0 -i team1 -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.224 -i team0 -j ACCEPT                            
-A INPUT -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 172.16.0.0/255.240.0.0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.0.0.0/255.0.0.0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 127.0.0.1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

##Forward: パケットを別のホストに転送するためのチェイン
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 192.168.11.0/255.255.255.0 -d 192.168.1.10 -i team1 -j ACCEPT
-A FORWARD -s 192.168.11.0/255.255.255.0 -i team1 -j ACCEPT
-A FORWARD -d 192.168.1.121 -j to_db1
-A FORWARD -d 192.168.1.122 -j to_db2
-A FORWARD -d 192.168.1.123 -j to_db3
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
--------------------------------------------------------------------------------------------------------------------------

5)サービスの再起動を行う
# systemctl restart iptables


0 件のコメント:

コメントを投稿

php log(ECS ログ出力)

# PHPエラーログの設定 ENV PHP_INI_DIR /usr/local/etc/php RUN { \ echo 'log_errors = On' ; \ echo 'error_log = /proc/self/...