iptables設定シェルスクリプト@CentOS5の解析メモ #2 - blog@longkey1.net
の続き。
参考教材
ファイアウォール構築(iptables) - CentOSで自宅サーバー構築
■フラグメント化
パケットの分割のことらしい。
-fはフラグメント化されたパケットにフィルタを適用させたい場合に使用する。
--log-prefixで指定したプレフィックスをログの前に付ける。
フラグメント化されたパケットによるDoS攻撃が可能らしいので、こういう設定にしている模様。
正直えらいと思う。
■NetBIOS
名前の通りNetwork越しにBIOSが使えるインターフェイスっぽい(よくわからん)
LAN内なら問題ないらしいので、この設定か。
NetBIOS over TCP/IPを無効にする
■Ping of Death
これまたpingをつかった攻撃。
Ping of Deathとは 【PoD】 - 意味・解説 : IT用語辞典
-NはNew Chainで、新たにユーザー定義チェインを作成するらしい。
■チェイン
ルールをグループ化したものらしい。
-m limitでリミット拡張。
--limitで、単位時間あたりに許されるマッチ回数を指定。
--limit-burstで上記 --limit が作動し始める最大バースト値(回数)
良くわからないけどまとめてみると、「1秒間に4回まではOK、それを超えると1秒間に1回ログに出力する」ってことかな。
-p icmpで、プロトコルはicmp。
--icmp-typeでicmpのタイプを指定出来る模様、ここではecho-requestを指定。
なんだかDoS攻撃で結構来るらしい。
うーむ。
この辺は運用した経験が反映されているくさいなー。
-dはDestinationで宛て先らしい。
これもピンとこないんだけど、一杯来るのかしら。
■IDENT
113版ポートは認証用に使われている模様。
何も返さないとレスポンス低下を招くらしい。
TCP/113 AUTH/IDENT に関して
んーなんだかServer管理の大変さを身にしみて感じ始めております。
いろんなポート、いろんな攻撃、いろんな対策があるもんだなー。
やっと半分程度。
いろんなノウハウが凝縮されていてビビる。
続き。
iptables設定シェルスクリプト@CentOS5の解析メモ #4(ラスト) - blog@longkey1.net
の続き。
参考教材
ファイアウォール構築(iptables) - CentOSで自宅サーバー構築
# フラグメント化されたパケットはログを記録して破棄
iptables -A INPUT -f -j LOG --log-prefix '[IPTABLES FRAGMENT] : '
iptables -A INPUT -f -j DROP■フラグメント化
パケットの分割のことらしい。
-fはフラグメント化されたパケットにフィルタを適用させたい場合に使用する。
--log-prefixで指定したプレフィックスをログの前に付ける。
フラグメント化されたパケットによるDoS攻撃が可能らしいので、こういう設定にしている模様。
正直えらいと思う。
# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
# ※不要ログ記録防止
iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP■NetBIOS
名前の通りNetwork越しにBIOSが使えるインターフェイスっぽい(よくわからん)
LAN内なら問題ないらしいので、この設定か。
NetBIOS over TCP/IPを無効にする
# 1秒間に4回を超えるpingはログを記録して破棄
# ※Ping of Death攻撃対策
iptables -N LOG_PINGDEATH
iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
iptables -A LOG_PINGDEATH -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH■Ping of Death
これまたpingをつかった攻撃。
Ping of Deathとは 【PoD】 - 意味・解説 : IT用語辞典
-NはNew Chainで、新たにユーザー定義チェインを作成するらしい。
■チェイン
ルールをグループ化したものらしい。
-m limitでリミット拡張。
--limitで、単位時間あたりに許されるマッチ回数を指定。
--limit-burstで上記 --limit が作動し始める最大バースト値(回数)
良くわからないけどまとめてみると、「1秒間に4回まではOK、それを超えると1秒間に1回ログに出力する」ってことかな。
-p icmpで、プロトコルはicmp。
--icmp-typeでicmpのタイプを指定出来る模様、ここではecho-requestを指定。
なんだかDoS攻撃で結構来るらしい。
うーむ。
この辺は運用した経験が反映されているくさいなー。
# 全ホスト(ブロードキャストアドレス、マルチキャストアドレス)宛パケットはログを記録せずに破棄
# ※不要ログ記録防止
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -d 224.0.0.1 -j DROP-dはDestinationで宛て先らしい。
これもピンとこないんだけど、一杯来るのかしら。
# 113番ポート(IDENT)へのアクセスには拒否応答
# ※メールサーバ等のレスポンス低下防止
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset■IDENT
113版ポートは認証用に使われている模様。
何も返さないとレスポンス低下を招くらしい。
TCP/113 AUTH/IDENT に関して
んーなんだかServer管理の大変さを身にしみて感じ始めております。
いろんなポート、いろんな攻撃、いろんな対策があるもんだなー。
やっと半分程度。
いろんなノウハウが凝縮されていてビビる。
続き。
iptables設定シェルスクリプト@CentOS5の解析メモ #4(ラスト) - blog@longkey1.net
コメント