CentOS5@Linodeでiptablesの設定シェルを実行したらエラーになってもた

ファイアウォール構築(iptables) - CentOSで自宅サーバー構築で紹介されているiptables.shの「各種サービスを公開する場合の設定」部分のみを変更したシェルを実行した。

#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここから)               #
#----------------------------------------------------------#

# 外部からのTCP22番ポート(SSH)へのアクセスを日本からのみ許可
# ※SSHサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 22 -j ACCEPT_COUNTRY

# 外部からのTCP80番ポート(HTTP)へのアクセスを許可
# ※Webサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 外部からのTCP21番ポート(FTP)へのアクセスを日本からのみ許可
# ※FTPサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 21 -j ACCEPT_COUNTRY

# 外部からのPASV用ポート(FTP-DATA)へのアクセスを日本からのみ許可
# ※FTPサーバーを公開する場合のみ
# ※PASV用ポート60000:60030は当サイトの設定例
iptables -A INPUT -p tcp --dport 60000:60030 -j ACCEPT_COUNTRY

#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここまで)               #
#----------------------------------------------------------#


んでiptables_functionsも作成して
# ./iptables.sh

Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: raw nat mangle filter     [  OK  ]
Unloading iptables modules:                                [  OK  ]
Saving firewall rules to /etc/sysconfig/iptables:          [  OK  ]
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: raw nat mangle filter     [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[FAILED]

はい、出ました、エラー。

いろいろ探したところ、こんな記述が。
Linode.com Forum :: CentOS 5.2 iptables module problem ("ip_conntrack_netbi

まあ、XenのLinodeで発生している模様。
原因は
「カーネルモジュールが無いから、ロードしようとしたらエラー」
っつうことなんかな。
ファイル共有(SambaやCIFS shares)を使わないなら、必要なくない?みたいなことも書いてある。
どうしてもやりたいなら、ソースからコンパイルしてってこと。

んで共有して使う気はさらさら無いので、あっさりロードするのをやめます。

# vi /etc/sysconfig/iptables-config

- IPTABLES_MODULES="ip_conntrack_netbios_ns" 
+ IPTABLES_MODULES=""


これで再度実行。
# ./iptables.sh

Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: raw nat mangle filter     [  OK  ]
Unloading iptables modules:                                [  OK  ]
Saving firewall rules to /etc/sysconfig/iptables:          [  OK  ]
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: raw nat mangle filter     [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]


とりあえずOKくさい。

これで少しはsshサービスへの不正アクセスも減るだろうけど、多いようならhaltさんから教えてもらったFail2banを試してみたいな。
これ、かなり良さそうだし。

とりあえず今日はここまで。
2009-05-08
[linode][server]

コメント

アーカイブ

2010

  • 01
  • 02
  • 03
  • 04
  • 05
  • 06
  • 07
  • 08
  • 09
  • 10
  • 11
  • 12

2009

2008

2007

コンタクト

longkey1[at]gmail[dot]com