読者です 読者をやめる 読者になる 読者になる

ちーくんのブログ

プログラミング備忘録

さくらのVPSの初期設定(ファイアーウォールの設定)

こんにちは。本日は「さくらのVPS」の設定シリーズ第四弾です。

今回はVPSに外部のネットワークを遮断・制御するファイアーウォールの設定をしていきます。


※第三弾
chi-kun.hatenablog.com


※第二弾
chi-kun.hatenablog.com


※第一弾
chi-kun.hatenablog.com

iptablesの設定

さくらのVPSの公式サイトや他の方が書かれている技術サイト等に様々な設定方法が書かれています。

しかしながら、iptablesの設定の種類がたくさんあるので、正直どれがいいのかわからない...

そこで今回は、信頼と実績がある俺達のドットインストールを参考に設定していきます。


まずVPSにログインして「sudo -s」でroot権限にする。

それから以下のコマンドを打つ。

[root@~ hoge]# vim /etc/sysconfig/iptables


Vimで新規ファイルが立ち上がるので、以下の設定を貼り付ける。

*filter
:INPUT    DROP    [0:0]
:FORWARD  DROP    [0:0]
:OUTPUT   ACCEPT  [0:0]
:SERVICES -       [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 4  -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -j SERVICES
-A INPUT -p udp --sport 53 -j ACCEPT
-A INPUT -p udp --sport 123 --dport 123 -j ACCEPT
-A SERVICES -p tcp --dport ここにyouのポート番号 -j ACCEPT
-A SERVICES -p tcp --dport 80 -j ACCEPT
-A SERVICES -p tcp --dport 443 -j ACCEPT
COMMIT


貼り付けたら自分が設定したポート番号を変更することもお忘れなく。


保存して設定を反映します。

[root@~ hoge]# service iptables start
iptables: ファイアウォールルールを適用中:          [ OK ]


これで [OK] というメッセージがでれば完了です。


iptablesの確認

上記で設定したiptablesの設定を確認することができます。

[root@~ hoge]# iptables -L


すると設定したiptables一覧がみれます。

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 4
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
SERVICES   tcp  --  anywhere             anywhere            state NEW
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     udp  --  anywhere             anywhere            udp spt:ntp dpt:ntp

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain SERVICES (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:youのポート番号
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:hbci
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https


本日は以上です。