Vine Linux は基本的に、標準で iptables はインストールされていますので、 iptables のポート開放の方法をご紹介します。
・・・ただ、非常に基本的な事だけになります。 σ(^◇^;)ヒヤアセ
ルールの初期化
[root@Linux root]# iptables -F ← ルールの初期化
まず最初に既存のルールを初期化します。・・・またはバックアップを取ってから実行してください。 場所は → /etc/sysconfig/iptables
基本ルール(ポリシー)の設定
[root@Linux root]# iptables -P INPUT DROP ← 受信はすべて破棄
[root@Linux root]# iptables -P FORWARD DROP ← 転送はすべて破棄
[root@Linux root]# iptables -P OUTPUT ACCEPT ← 送信はすべて許可
下記の詳細ルールにマッチしない場合の基本ルールの設定になります。 [root@Linux root]# iptables -P FORWARD DROP ← 転送はすべて破棄
[root@Linux root]# iptables -P OUTPUT ACCEPT ← 送信はすべて許可
簡単な説明として、INPUT(受信) FORWARD(転送・ルータ時などに使用) OUTPUT(送信)
ACCEPT(許可) DROP(破棄) と言った感じです。
・・・つまり上記の設定のみでは、受信しかできないことになります。
ACCEPT(許可) DROP(破棄) と言った感じです。
・・・つまり上記の設定のみでは、受信しかできないことになります。
その他 iptables の オプション 説明
-A : 指定チェインに1つ以上の新しいルールを追加
-D : 指定チェインから1つ以上のルールを削除
-P : 指定チェインのポリシーを指定したターゲットに設定
-N : 新しいユーザー定義チェインを作成
-X : 指定ユーザー定義チェインを削除
-p : ルールで使うプロトコル(tcp、udp、icmp、all)を指定
-s : 送信元アドレス。IPアドレスのほかにホスト名などでも指定できる
-d : 接続先アドレス。IPアドレスのほかにホスト名などでも指定できる
-i : パケットが入ってくるインターフェイス(eth0、eth1など)を指定
-o : パケットが出ていくインターフェイスを指定
-j : パケットがマッチしたときのアクション(ターゲット)を指定
-t : テーブル(filter、nat、mangle)を指定
! : -p、-s、-dなどで、条件を反転する。
「! 192.168.0.1」とすると、「192.168.0.1以外」という意味になる
--sport : 送信元ポートを指定する。ポートはレンジで範囲指定することも可能
パラメータ設定で「-p tcp」を指定したときに使用
--dport : 送信先ポートを指定する。ポートはレンジで範囲指定することも可能
パラメータ設定で「-p tcp」を指定したときに使用
--icmp-type : typenameにはICMPのタイプ(echo-requestやecho-replyなど)を指定する
パラメータ設定で「-p icmp」を指定したときに使用
詳細ルールの設定
ご自分の必要なものだけ入力してください。[root@Linux root]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Web サーバーの 80 ポート開放 (HTTP)[root@Linux root]# iptables -A INPUT -p tcp --dport 443 -j ACCEPT
Web サーバーの 443 ポート開放 (HTTPS)[root@Linux root]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
SSH サーバーの 22 ポート開放[root@Linux root]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
FTP サーバーの 21 ポート開放[root@Linux root]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
POP サーバーの 110 ポート開放[root@Linux root]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
SMTP サーバーの 25 ポート開放[root@Linux root]# iptables -A INPUT -p tcp --dport 143 -j ACCEPT
IMAP サーバーの 143 ポート開放・・・と言った感じで、開放方法は上記のように記述するだけでポート番号が違うだけです。
あとは・・・
[root@Linux root]# iptables -A INPUT -i lo -j ACCEPT
ループバックアドレス(サーバー自身)は全て許可になります。[root@Linux root]# iptables -A INPUT -s 192.168.11.0/24 -j ACCEPT
ローカルエリアは全て許可になります。※ 赤文字の IP アドレスはご自分の環境に合わせてください。 下記のコマンドで表示されます。
[root@Linux root]# netstat -rn|grep eth0|grep 255.255.255.0|cut -f1 -d' '
[root@Linux root]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
内部から行ったアクセスに対しての外部からの応答アクセスが全て許可になります。設定を保存
必ず下記の保存を実行してください。 ・・・保存しないで再起動すると元に戻ってしまいます。[root@Linux root]# /etc/rc.d/init.d/iptables save
設定内容は下記に保存されます。/etc/sysconfig/iptables
再起動
iptables を再起動します。[root@Linux root]# /etc/rc.d/init.d/iptables restart
ポートが実際に開いているかの確認はこちらで出来ます。
※ もちろんルータのポート開放も忘れずに!! ルータ(BBR-4HG)のポート開放方法
「Proceed」 をクリック「All Service Ports」 をクリック
すべてのポートを確認できます。
赤色がOPEN 青色がCLOSE です。 マウスを上にのせるとポート番号が表示されます。
これで完了です。
・・・と言いたいところですが、こんな基本的な事だけでよいのだろうかと思い探してみると便利なスクリプトを作成しておられる方がいましたのでご紹介しておきます。
Fedoraで自宅サーバー構築
Vine Linuxで自宅サーバー
SYSTEMO
上記のサイト様のスクリプトはいろいろ細かいところまで設定されているのでばっちりだと思います。
・・・ただ試したわけではないので責任は持てません。 σ(^◇^;)ヒヤアセ
最上階
1階