Work Records

日々の作業記録です。当初はiPhone・androidアプリ作成ネタなど。最近はソフトウェアエンジニアリング全般から、趣味の話まで。

【超個人的メモ】sakuraのサーバーを新規で起動したらまず設定するiptables

以前、放置していたsakuraのサーバーが悪さしているといわれて強制的にOSリセットされた事があります。。。悪い人に入られて踏み台にされていたようです。

それ以降は、sakuraのVPSを起動したらまずはiptablesを設定するようにしています。
大体ここのやつを参考に。
「さくらのVPS」導入解説 その10:iptablesの設定 | Sabakura Blog

いっつも忘れて調べ直すので、転載。メモ。

*filter
:INPUT   ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT  ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
 
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# SSH, HTTP, FTP1, FTP2, MySQL
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80    -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20    -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21    -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306  -j ACCEPT
 
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
 
COMMIT

まあ、最近は内部IPが使えるんで内部のみに絞るみたいなのも追加してます。
内部のsshは22の方が便利だったりするけど、外部には22あけたくないしー、的な。

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 10.0.8.0/24 -j ACCEPT

AWSみたいにFW(security group)が設定できると良いんですけどね。
当然、iptablesでパケット監視しているとcpuも当然使うのでその辺りとはうまくつきあっていかないと。


クラウドVPS入門 運用・構築から高度な利用まで (静岡学術出版理工学ブックス)

クラウドVPS入門 運用・構築から高度な利用まで (静岡学術出版理工学ブックス)

  • 作者: JACC,水野信也,永田正樹,坂田智之,長谷川孝博,井上春樹
  • 出版社/メーカー: 静岡学術出版
  • 発売日: 2010/09/10
  • メディア: 単行本(ソフトカバー)
  • 購入: 1人 クリック: 58回
  • この商品を含むブログ (7件) を見る
小さな会社の新米サーバー/インフラ担当者のためのLinuxの常識

小さな会社の新米サーバー/インフラ担当者のためのLinuxの常識