Ubuntu ファイアーウォール (iptables設定)
参考サイト様
Linuxルーター構築(rp-pppoe+iptables) - CentOSで自宅サーバー構築
上記のiptablesの設定を参考と言うよりお借りいたしました。あとは環境に合わせて修正したり削ったり。
#!/bin/bash
# インターフェイスを定義する
WAN='ppp0' # 外部インタフェース
LAN1='eth1' # 内部1インタフェース
# ローカル・ネットワーク・アドレスの設定
LOCALNET1='192.168.1.0/24' # ローカル・ネットワーク・アドレス
# すべてのルールをクリア
iptables -F
# デフォルトルール設定(最初に全て拒否ってだんだんと穴を開けていく)
iptables -P INPUT DROP # 受信はすべて破棄
iptables -P FORWARD DROP # 通過はすべて破棄
iptables -P OUTPUT ACCEPT # 送信はすべて許可
# ループバックアドレスからのアクセスをすべて許可
iptables -A INPUT -i lo -j ACCEPT
# ローカルネットワーク内からのアクセスをすべて許可
iptables -A INPUT -i $LAN1 -j ACCEPT
iptables -A FORWARD -i $LAN1 -j ACCEPT
# SYN Cookiesを有効にする
sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null
sed -i '/net.ipv4.tcp_syncookies/d' /etc/sysctl.conf
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf
# ブロードキャストアドレス宛pingには応答しない
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null
sed -i '/net.ipv4.icmp_echo_ignore_broadcasts/d' /etc/sysctl.conf
echo "net.ipv4.icmp_echo_ignore_broadcasts=1" >> /etc/sysctl.conf
# ICMP Redirectパケットは拒否
sed -i '/net.ipv4.conf.*.accept_redirects/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
sysctl -w net.ipv4.conf.$dev.accept_redirects=0 > /dev/null
echo "net.ipv4.conf.$dev.accept_redirects=0" >> /etc/sysctl.conf
done
# Source Routedパケットは拒否
sed -i '/net.ipv4.conf.*.accept_source_route/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
sysctl -w net.ipv4.conf.$dev.accept_source_route=0 > /dev/null
echo "net.ipv4.conf.$dev.accept_source_route=0" >> /etc/sysctl.conf
done
# フラグメント化されたパケットはログを記録して破棄
iptables -N LOG_FRAGMENT
iptables -A LOG_FRAGMENT -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES FRAGMENT] : '
iptables -A LOG_FRAGMENT -j DROP
iptables -A INPUT -f -j LOG_FRAGMENT
# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
iptables -A INPUT -s ! $LOCALNET1 -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A INPUT -s ! $LOCALNET1 -p udp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET1 -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET1 -p udp -m multiport --sports 135,137,138,139,445 -j DROP
#Ping of Death攻撃対策
iptables -N LOG_PINGDEATH
iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A LOG_PINGDEATH -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES PINGDEATH] : '
iptables -A LOG_PINGDEATH -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
# ローカルネットワーク内からのインターネット接続を許可
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE
# 内部から行ったアクセスに対する外部からの応答アクセスを許可
iptables -A INPUT -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
# 内部から行ったアクセスに対する外部からの返答アクセスを許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ブロードキャストアドレス、マルチキャストアドレス宛パケットはログを記録しない
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -d 224.0.0.1 -j DROP
# 113番ポート(IDENT)へのアクセスには拒否応答
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset
#######################################################
# WAN側ポート開放設定 #
#######################################################
# HTTP(80番ポート)をすべて許可
iptables -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
# HTTPS(443番ポート)をすべて許可
# ※HTTPSを使う場合
iptables -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
# ssh(22番ポート)を許可
iptables -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
#FTP(21番ポートの許可)
iptables -A INPUT -i $WAN -p tcp --dport 21 -j ACCEPT
ファイアウォール - ITNAVI.net
開放ポート番号記載など参考にさせていただきました。