Context Navigation

Changes between Version 7 and Version 8 of HowTo/SakuraVpsSetup3

Timestamp:: Apr 28, 2017, 5:59:36 PM (9 years ago)
Author:: 村山俊之
Comment:: --

Legend:

: Unmodified
: Added
: Removed
: Modified

HowTo/SakuraVpsSetup3

-              v7
+              v8
  * [http://hy.xrea.jp/linux/index.php?Ubuntu%2FUbuntu%E3%81%A7iptables%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B Ubuntu/Ubuntuでiptablesを設定する - Welcome to Life with Linux]
+ * [https://calliedesign.com/store/reference/server_setting/build_iptables_firewall_debian_ubuntu/ iptablesによるファイアウォール構築 in Debian/Ubuntu | ホームページ制作会社 キャリーデザイン]
+ * [https://oitibs.com/easy-ubuntu-16-server-firewall/ Easy Ubuntu 16.04 Server Firewall]
 . `iptables` コマンドを呼びまくるシェルスクリプトを書いて実行する。
+   * IPv4
 {{{
 $ sudo su -
 …
 /sbin/iptables -A INPUT -p tcp -m state --state NEW -m multiport --dports 22,25,53,587,993,80,443 -j ACCEPT
 /sbin/iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
 /sbin/iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
+/sbin/iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
+/sbin/iptables -A FORWARD -j REJECT --reject-with icmp-port-unreachable
 }}}
 {{{
 # chmod u+x iptables.sh
 # ./iptables.sh
+}}}
+   * IPv6
+{{{
+# vim ip6tables.sh
+}}}
+{{{
+#!sh
+#!/bin/sh
+/sbin/ip6tables -F
+/sbin/ip6tables -X
+/sbin/ip6tables -P INPUT ACCEPT
+/sbin/ip6tables -P OUTPUT ACCEPT
+/sbin/ip6tables -P FORWARD ACCEPT
+/sbin/ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+/sbin/ip6tables -A INPUT -p icmp -j ACCEPT
+/sbin/ip6tables -A INPUT -i lo -j ACCEPT
+/sbin/ip6tables -A INPUT -p tcp -m state --state NEW -m multiport --dports 22,25,53,587,993,80,443 -j ACCEPT
+/sbin/ip6tables -A INPUT -j REJECT --reject-with icmp6-port-unreachable
+/sbin/ip6tables -A FORWARD -j REJECT --reject-with icmp6-port-unreachable
+}}}
+{{{
+# chmod u+x ip6tables.sh
+# ./ip6tables.sh
 }}}
 . 設定内容を確認
 …
 ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW multiport dports 22,25,53,587,993,80,443
 REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
+REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
 Chain FORWARD (policy ACCEPT)
 target     prot opt source               destination
 REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
+REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
 Chain OUTPUT (policy ACCEPT)
 target     prot opt source               destination
+# ip6tables -L -n
+Chain INPUT (policy ACCEPT)
+target     prot opt source               destination
+ACCEPT     all      ::/0                 ::/0                 state RELATED,ESTABLISHED
+ACCEPT     icmp     ::/0                 ::/0
+ACCEPT     all      ::/0                 ::/0
+ACCEPT     tcp      ::/0                 ::/0                 state NEW multiport dports 22,25,53,587,993,80,443
+REJECT     all      ::/0                 ::/0                 reject-with icmp6-port-unreachable
+Chain FORWARD (policy ACCEPT)
+target     prot opt source               destination
+REJECT     all      ::/0                 ::/0                 reject-with icmp6-port-unreachable
+Chain OUTPUT (policy ACCEPT)
+target     prot opt source               destination
+#
 }}}
+. 設定内容をファイルに保存する
+{{{
+# mkdir /etc/iptables
+# iptables-save > /etc/iptables/iptables.rules
+}}}
+. ↑で保存したファイルを、起動時に読み込み、終了時に保存し直すよう設定する
+{{{
+# vim /etc/network/interfaces
+}}}
+{{{
+#!sh
+# 最終行に追加
+pre-up iptables-restore < /etc/iptables/iptables.rules
+post-down iptables-save -c > /etc/iptables/iptables.rules
+}}}
+. 再起動し、設定内容を確認
+{{{
+# reboot
+}}}
+{{{
+$ sudo su -
+# iptables -L -n
+Chain INPUT (policy ACCEPT)
+target     prot opt source               destination
+ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
+ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
+ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
+ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW multiport dports 22,25,53,587,993,80,443
+REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
+Chain FORWARD (policy ACCEPT)
+target     prot opt source               destination
+REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
+Chain OUTPUT (policy ACCEPT)
+target     prot opt source               destination
+. iptables-persistent をインストールし、iptables の設定を保存する
+{{{
+# apt install iptables-persistent
+}}}
+   * ipv4, ipv6 の設定を保存するか尋ねられるので、両方 Yes にしておく
+. 保存内容を確認
+{{{
+# cat /etc/iptables/rules.v4
+# Generated by iptables-save v1.6.0 on Fri Apr 28 17:47:41 2017
+*filter
+:INPUT ACCEPT [0:0]
+:FORWARD ACCEPT [0:0]
+:OUTPUT ACCEPT [234:24432]
+-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
+-A INPUT -p icmp -j ACCEPT
+-A INPUT -i lo -j ACCEPT
+-A INPUT -p tcp -m state --state NEW -m multiport --dports 22,25,53,587,993,80,443 -j ACCEPT
+-A INPUT -j REJECT --reject-with icmp-port-unreachable
+-A FORWARD -j REJECT --reject-with icmp-port-unreachable
+COMMIT
+# Completed on Fri Apr 28 17:47:41 2017
+# cat /etc/iptables/rules.v6
+# Generated by ip6tables-save v1.6.0 on Fri Apr 28 17:47:41 2017
+*filter
+:INPUT ACCEPT [0:0]
+:FORWARD ACCEPT [0:0]
+:OUTPUT ACCEPT [106:10896]
+-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
+-A INPUT -p icmp -j ACCEPT
+-A INPUT -i lo -j ACCEPT
+-A INPUT -p tcp -m state --state NEW -m multiport --dports 22,25,53,587,993,80,443 -j ACCEPT
+-A INPUT -j REJECT --reject-with icmp6-port-unreachable
+-A FORWARD -j REJECT --reject-with icmp6-port-unreachable
+COMMIT
+# Completed on Fri Apr 28 17:47:41 2017
+#
 }}}
+設定を変更する場合は、上記のシェルを書き換えて実行した後、以下のコマンドを実行する。
+{{{
+# /etc/init.d/netfilter-persistent save
+}}}
+留意点:
+ * `--reject-with` に渡すオプションは単なるエラーメッセージの種類らしい。 IPv6 では `icmp6-host-prohibited` のようなタイプは存在しなかったので、 IPv4 の方も IPv6 で使えるものと共通の `icmp[6]-port-unreachable` に揃えてみた。
+ * iptables-persistent については解説されているサイトの多くで `/etc/init.d/iptables-persistent` コマンドとして紹介されているが、 Ubuntu 16.04 では `/etc/init.d/netfilter-persistent` コマンドに改名されていた模様。ちょっとハマった。