2012年05月14日

iptables 特定のIPアドレスからのみPINGを許可する

特定のIPアドレスからのみPINGを許可するiptablesの設定です。

ICMPプロトコルに下記のオプションを追加するとPING可否を指定できます。
PINGリクエスト:--icmp-type echo-request
PING応答:--icmp-type echo-reply


#! /bin/sh

trusthost='192.168.1.100'
myhost='192.168.2.200'

##############################
#初期化する
##############################
iptables -F
iptables -X
##############################
#すべての送受信パケットを拒否
##############################
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
##############################
#ループバック通信の許可
##############################
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
##############################
#PINGを許可する trusthost->myhost
##############################
iptables -A INPUT -p icmp --icmp-type echo-request -s $trusthost -d $myhost -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -s $myhost -d $trusthost -j ACCEPT
##############################
#PINGを許可する myhost->trusthost
##############################
iptables -A OUTPUT -p icmp --icmp-type echo-request -s $myhost -d $trusthost -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -s $trusthost -d $myhost -j ACCEPT
##############################
#ログを取得する
##############################
iptables -N LOGGING
iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit
iptables -A LOGGING -j DROP
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING



Linux ブログランキングへ
【関連する記事】
posted by ブログ管理者 at 22:48| Comment(0) | iptables | このブログの読者になる | 更新情報をチェックする

2012年05月13日

ループバックアドレス

ネットワークカードなどのループバックインターフェイスに割り当てられた自分自身を示すIPアドレスのこと。
ネットワーク上において自分自身を表す仮想的なアドレスであり、IPv4においては「127.0.0.1」、IPv6においては「::1」(0:0:0:0:0:0:0:1)が使われる。また、ホスト名としては慣用的に「localhost」が用いられる。


Linux ブログランキングへ
posted by ブログ管理者 at 21:01| Comment(0) | 用語 | このブログの読者になる | 更新情報をチェックする

2012年05月06日

iptablesコマンド

◆テーブル名
filter
INPUT、OUTPUT、FORWARD
nat
OUTPUT、PREROUTING、POSTROUTING
mangle
OUTPUT、PREROUTING

◆チェイン名
INPUT
受信したパケットに対するチェイン
OUTPUT
送信したパケットに対するチェイン
FORWARD
対象サーバを経由するパケットに対するチェイン
PREROUTING
受信時にパケットのアドレス変換をするチェイン
POSTROUTING
送信時にパケットのアドレス変換をするチェイン

◆コマンドオプション
-A
指定したチェインにルールを追加する。
-F
指定したチェインの内容を全て消去する。
-h
ヘルプを表示する。
-L
指定したチェインのルールを一覧表示する。(チェイン名を指定しない場合はすべてのチェインのルールを表示する。)
-N
指定した名前でユーザ定義チェインを作成する。
-P
デフォルト(ルールが最後までマッチしなかった場合)に適用されるターゲットを指定する。
-X
指定したユーザ定義チェインを削除する。
-Z
全てのチェインのパケットカウンタとバイトカウンタをクリアする。

◆パラメータ
-d IPアドレス
あて先を指定する。
-i インタフェイス名
パケットを受信するインタフェイスを指定する。
-j ターゲット
ターゲットを指定する。ターゲットにはACCEPT、DROP、RETURN、LOG、REJECT、ユーザ定義チェインを指定できます。
-o インタフェイス名
パケットを送信するインタフェイスを指定する。
-p プロトコル名
プロトコルを指定する。tcp,、udp、 icmp、 allが指定できる。
-s IPアドレス
送信元を指定する。

◆ターゲット
ACCEPT
マッチしたパケットを通す。(接続を許可する。)
DROP
マッチしたパケットを破棄する。(接続を拒否する。)
LOG
マッチしたパケットをログに記憶する。
REJECT
マッチしたパケットの送信元にICMPのエラーメッセージを返信し、DROPする。
RETURN
ユーザ定義チェイン内であれば呼び出し元に返り、組み込み済みチェインであればチェインポリシーが適用される。


Linux ブログランキングへ
ラベル:iptables コマンド
posted by ブログ管理者 at 20:46| Comment(0) | iptables | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。