Thu Sep 05 2002 [長年日記]
■ [masaruyokoi.com] AIM Account
iChatを利用するためにAOL の AIMのアカウントを作った。アカウントの名前は masaru987654321 です。
■ [Windows] ミニ解説:XPのロゴ表示を省略して高速起動
こんどやってみよっと:[ミニ解説:XPのロゴ表示を省略して高速起動]
■ [Linux masaruyokoi.com] iptables でパケットフィルタの設定
有線の回線が敷設されたということで、サーバに使っているコンピュータのパケットフィルタの内容も見直すことにした。いままでは /etc/sysconfig/iptables のところに継ぎ接ぎっぽく追記・消去しながら書いていたんですが、この際ルールを見直すと同時に、iptables のコマンドで引数を指定して設定する方法をやってみようということで、簡単なスクリプトを書いてみた。
今回適用するルールを箇条書きにしたところ、以下のようになった。
- local の network の IPv4 address は 192.168.1.1/16 127.0.0.1/32 43.235.72.72/29
- local の network のみ受け入れる TCP の port は 23(telnet), 137(netbios-ns), 138(netbios-dgm), 139(netbios-ssn), 161(snmp), 901(Samba SWAT), 953(BIND rndc), 1178(skkserv), 3306(MySQL), 7000(apcupsd) 、UDP は 137(netbios-ns), 138(netbios-dgm), 161(snmp) で、 local netowork でない IPv4 address からは受け入れない。
- localhost 以外からは REJECT する TCP の port は 8005, 8008, 8009 の tomcat 関連。
んで、これをスクリプトで一気に設定するようにしてみた:
#!/bin/sh
LOCALNET="192.168.1.1/16 127.0.0.1/32 43.235.72.72/29"
ACCEPT_LOCALNET_TCP="23 139 161 541 901 953 1178 3306 7000"
ACCEPT_LOCALNET_UDP="137 138 161"
ACCEPT_LOCALHOST_TCP="8005 8008 8009"
IPTABLES=/sbin/iptables
IPTABLES_SAVE=/etc/init.d/iptables save
## -- main --
/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
${IPTABLES} -t filter -F FORWARD
${IPTABLES} -t filter -F INPUT
${IPTABLES} -t nat -F POSTROUTING
# IP Masquerade
${IPTABLES} -t nat -A POSTROUTING -o eth0 -j MASQUERADE
for port in $ACCEPT_LOCALNET_TCP ; do
for addr in $LOCALNET ; do
${IPTABLES} -t filter -A INPUT -s ${addr} -p tcp --dport ${port} -j ACCEPT
done
${IPTABLES} -t filter -A INPUT -p tcp --dport ${port} -j REJECT
done
for port in $ACCEPT_LOCALNET_UDP ; do
for addr in $LOCALNET ; do
${IPTABLES} -t filter -A INPUT -s ${addr} -p udp --dport ${port} -j ACCEPT
done
${IPTABLES} -t filter -A INPUT -s ${addr} -p udp --dport ${port} -j REJECT
done
for p in $ACCEPT_LOCALHOST_TCP ; do
${IPTABLES} -t filter -A INPUT -s ! 127.0.0.1/32 -p tcp --dport ${p} \
-j REJECT
done
${IPTABLES_SAVE}
[ツッコミを入れる]
2000|10|
