第6ぶろぐ

CentOS iptables その2

前回の引き続き。
まだ理解しきってないけど、前よりはわかってきたぞ。

【今回使ったコマンド】
チェイン定義の追加
・iptables -N xxxx

チェイン定義の削除
・iptables -X xxxx

指定したチェインの内容をすべて削除
・iptables -F xxxx

定義の追加
・iptables -A xxxx -p xxxx --dport nn -j xxxx
・iptables -I xxxx n -p xxxx --dport nn -j xxxx


定義の削除
・iptables -D xxxx n

iptablesの設定の保存
・/etc/rc.d/init.d/iptables save

xxxx:任意の文字列
n:数字




ssh接続ができなくなった理由だけど、INPUTチェインの基本をDROPに変更したことと、オリジナルのチェイン定義をINPUTチェインから外してたことにあった。

まずオリジナルチェイン定義の説明から。
iptables -N test

これでオリジナルチェイン(test)定義の作成。
testに定義を追加していく。
iptables -A test -p tcp --dport 21 -j ACCEPT
iptables -A test -p tcp --dport 80 -j ACCEPT


-p:プロトコルの指定
--dport:ポートの指定
-j:動作の指定


こうすることによって、testっていうチェインにFTPとHTTPを許可する定義が追加される。
で、このオリジナルチェインを基本のチェインであるINPUTに結びつければ、一気にFTPとHTTPが許可されるって寸法。
オリジナルのチェインを作ることによって、ポリシーの一元管理ってか、まとめて管理できるようになるわけだね。
iptables -A INPUT -p all -j test

INPUTチェインをDROPにしたときのどこかのタイミングで、CentOSインスト初期からの定義削除したっぽい。
それでssh接続が切断されたんだなぁ。

ここから初期設定に戻しつつ、必要な部分にのみ修正を加えるようにする。

テストで作ったチェイン定義(test)の削除。
iptables -X test

前回INPUTチェインにつけた定義を削除。
iptables -F INPUT

初期のチェイン定義をINPUTチェインに連結。
iptables -A INPUT -p all -j xxxx

FTPとHTTP許可を追加する。
iptables -I INPUT 1 -p tcp --dport 21 ACCEPT
iptables -I INPUT 2 -p tcp --dport 80 ACCEPT


iptablesの設定の保存。
/etc/rc.d/init.d/iptables save

このあとiptablesを再起動して、FTPとHTTPで正常に通信できることを確認する。
特に問題なかったな。


さて、ここから気になったのが登録の順番。
今回の手順でやると次のようになるはず。
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:http
xxxxxxx all -- anywhere anywhere

というわけで、ここから次のパターンを確認してみた。
Chain INPUT (policy DROP)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:http
xxxxxxx all -- anywhere anywhere
⇒FTP接続NG

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
DROP tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:http
xxxxxxx all -- anywhere anywhere
⇒FTP接続OK

これから推察するに、上の方が優先されるんだねぇ。
[PR]
by dairoku6 | 2008-07-01 01:42 | プログラム
<< G線上の魔王 感想 G線上の魔王 その4 >>


カテゴリ
タグ
りんく
ブログ:
ぽむぽむ
まるぶろぐ
以前の記事
検索
その他のジャンル
ファン
記事ランキング
ブログジャンル
画像一覧