【超個人的メモ】sakuraのサーバーを新規で起動したらまず設定するiptables
以前、放置していたsakuraのサーバーが悪さしているといわれて強制的にOSリセットされた事があります。。。悪い人に入られて踏み台にされていたようです。
それ以降は、sakuraのVPSを起動したらまずはiptablesを設定するようにしています。
大体ここのやつを参考に。
「さくらのVPS」導入解説 その10:iptablesの設定 | Sabakura Blog
いっつも忘れて調べ直すので、転載。メモ。
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH, HTTP, FTP1, FTP2, MySQL -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
まあ、最近は内部IPが使えるんで内部のみに絞るみたいなのも追加してます。
内部のsshは22の方が便利だったりするけど、外部には22あけたくないしー、的な。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 10.0.8.0/24 -j ACCEPT
AWSみたいにFW(security group)が設定できると良いんですけどね。
当然、iptablesでパケット監視しているとcpuも当然使うのでその辺りとはうまくつきあっていかないと。