• ベストアンサー

iptableコマンドを使ってファイアーフォール

現在、ファイアーフォール構築するようにいわれました。 ポート番号で、http https dns を開け、後は、dropにしました。 しかし、それでは、セキュリティ上問題あるということで、(勉強という意味を込めて)よりセキュリティの高い設定をするよういわれました。 まず、特定の国のIPアドレスは拒否するようにいわれました。 他に、IPアドレスで、特定のものを拒否、もしくは、受入るとしたら、どんなものがあるでしょうか? 教えてください。

質問者が選んだベストアンサー

  • ベストアンサー
  • xjd
  • ベストアンサー率63% (1021/1612)
回答No.1

>よりセキュリティの高い設定をするよういわれました。 >特定の国のIPアドレスは拒否するようにいわれました。 こんばんは。 うちでもiptablesでファイアウォールを構築しています。 接続元IPアドレス以外にも、以下のようなポリシーで接続拒否をしています。 参考にしてください。 SynFlood攻撃をリミットバーストで拒否(ログにも記録) -m limit --limit 1/s --limit-burst 10 -j LOG --log-level=1 --log-prefix '## SYNFLOOD ## ' 不正なTCPフラグの組み合わさったパケットを拒否 -p tcp --tcp-flags ACK,FIN FIN -p tcp --tcp-flags ACK,PSH PSH -p tcp --tcp-flags ACK,URG URG など、他に10種類ほどの不正フラグの組み合わせパケットを拒否 外部からのIPスプーフィングを拒否 -i $WANPORT -s $INNERLAN -j DROP Authリクエストの拒否 -p tcp --dport 113 -j REJECT --reject-with tcp-reset

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ファイヤウォールについて

    良くファイヤウォールのポート6842をなんたらして・・ と言われるんですが、ファイヤウォールの設定をいじるにはどうすれば良いんでしょうか? TCP/IP等でお互いをブロックしてるのがファイヤウォールってのは知ってますが、具体的に何故存在するのか等も知ってたらお願いします。(セキュリティ?) OSはWin98です。

  • linuxのポート開放について

    linuxのポート開放での質問です。 特定のIPアドレスからFTPポート(20,21)のみ開放するには、どうすればいいでしょうか。 現在、iptables -A OUTPUT -d [IPアドレス] -j DROP にて特定のIPアドレスとのI/Oを 停止していますが、このIPアドレスからFTPポートのみ開放する方法を教えてください。

  • ポート番号って何ですか?

    パソコンで調べてみるとIPアドレスはコンピューターを特定するためのものですが、ポート番号はサービスを特定するための番号ですって書いてあるんですが、サービスを特定するってどういう意味ですか?

  • プロバイダ、プロキシ、ファイアオールについて

    非常に素朴な疑問なのですが、インターネットとLANネットワークの境界には、結局、プロバイダとプロキシとファイアオール(以上の三つ)が必ず存在するのでしょうか? また、その順番はどのように並んでいるのでしょうか? また、どれが必ず必要で、どれは任意の設置でいいのかも教えてもらいたいです。 ファイアオールはセキュリティ上どんな人もほぼ必ず付けると予測できますし、プロバイダもインターネットと通信をするためには必ず必要なのかなと思いますが、プロキシについて特によく理解できていません。 そこで、改めてそれぞれ三つの役割が私の中での理解であっているのかも確認してくださると助かります。 プロバイダ・・インターネットとLANネットワークをつなげるもので、それぞれ個人が自分で企業と契約して設置してもらうやつ。プロバイダによって通信をするとき勝手にIPアドレスが自動で渡され、それを使ってインターネットに接続する。そのときのログはプロバイダログといして残る。(たしか半年くらい) プロキシ・・・外部サーバーのデータを一時的にキャッシュし、2回目以降はプロキシとユーザのパソコン間での通信だけで可能になるので速くなる。また、外部サーバーからのデータを一時的にレベル7まで構築し直して内部のデータをスキャンするのでセキュリティを強くすることができるが、そのぶん通信が遅くなる。 ファイアオール・・・データのヘッダ部だけで判断し、空いてないポートへのデータを拒否したり、怪しいヘッダのデータを拒否したりする。

  • WINDOWSファイヤーウォールでIPの拒否はできますか?

    WINDOWSのファイヤーウォールで、特定のホストやIPのアクセス拒否設定はできるでしょうか? もし出来ない場合は、もしよかったら、拒否ができるソフトを教えていただけないでしょうか?

  • アクセスについて

    ルーターやファイヤーフォールを施していないPCにアクセスするには IPアドレスを入れるだけでいいんですか? また、IPアドレスを入れると どのようにアクセスできるんですか?

  • 「ファイアーウオール」の設定について

    「ファイアーウオール」の設定について質問が御座います. 1.Outlook Expressに接続すると,以下のようなエラーがでます. 2.Norton Internet Security を開き,「ファイアーウオール」の設定を無効にします.これにより,メールが受信できます. ■「ファイアーウオール」の設定をいつも無効にするのは,ちょっと大変です.どにか他に解決法がありませんでしょうか? マシンからWebに接続する場合の通信を許可するようにすればいいのでしょうか?しかし,マシンにはDHCPでIPアドレスがふられているため,どのように設定すればいいかわかりません. --------以下,エラー内容-------- ホスト 'pop.***.so-net.ne.jp' が見つかりません。 サーバー名が正しいことを確認してください。 アカウント : 'pop.***.so-net.ne.jp', サーバー : 'pop.***.so-net.ne.jp', プロトコル : POP3, ポート : 110, セキュリティ (SSL): なし, ソケット エラー : 11001, エラー番号 : 0x800CCC0D

  • ファイアウオール

    ウィルスセキュリティZEROをインストールするとゼロックスカラー複合機は問題なく印刷出来ますがNECMultiwriter2360N及び2350Nがファイアウオールで遮断されてしまいます。ファイアウオールの設定でIPアドレスを入れなくても印刷できる方法があれば教えてください。

  • ファイヤーウォールの動きについて

    ルーターのファイヤーウォールのログを見たところ不思議と思える現象があるので質問します。 PCは7、ルーターは無線LANの親機で、PCと有線接続されています。その他にも無線端末が接続されています。ルーターが各端末に割り振るアドレスはローカル「192.168.XX.XX」です。 ログによるとグローバルアドレスと思われるIPアドレスからグローバルアドレスへの接続が要求され、それがファイヤーウォールによって遮断されているように見えるのです。 1.LAN内からでるIPアドレスはローカル「192.168.XX.XX」でないでしょうか?なぜグローバルアドレスが発生しているのですか? 2.何かのウィルスが動いているのでしょうか? セキュリティソフトは入れていません。そろそろ入れようと思っていたところですが。 よろしくお願いします。ださい

  • ウイルスバスターのファイヤーウォールが機能しません。誰か教えてください!!

    私はまだウイルスバスターの会員ではありません。私はADSLを使っています。ウイルスバスターの家庭内ネットワーク2に設定しています。許可していないところからの接続があった時にプロパティを開き拒否するに入れますが何度も同じIPアドレスから接続されます。拒否ボタンを押してもその画面が絶え間なく続いて出るようになりました。 送信元ポートはN/A、プロトコルはIGMPとなっています。Windowsのファイヤーウォールは無効にしています。何が原因なのでしょうか?誰かアドバイスお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する