さくらVPSでiptablesを設定した際の作業メモです。

(パケットフィルタ要件)

• • 許可する通信は以下の通り
    • ssh(22/tcp)
    • smtp(25/tcp)
    • smtps(465/tcp)
    • imap4s(993/tcp)
    • pop3s(995/tcp)
  • ループバックアドレスはINPUT/OUTPUT全て許可
  • 上記以外のINPUTは全てDROP
  • INPUTでDROPした通信はログに出力
  • OUTPUTは全て許可
  • FORWARDは全て拒否(DROP)

"iptables"コマンドで、ルールを登録します。

$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A OUTPUT -o lo -j ACCEPT
$ sudo iptables -A INPUT -p TCP --dport 22 -j ACCEPT
$ sudo iptables -A INPUT -p TCP --dport 25 -j ACCEPT
$ sudo iptables -A INPUT -p TCP --dport 465 -j ACCEPT
$ sudo iptables -A INPUT -p TCP --dport 993 -j ACCEPT
$ sudo iptables -A INPUT -p TCP --dport 995 -j ACCEPT
$ sudo iptables -N LOGGING
$ sudo iptables -A LOGGING -j LOG --log-level debug --log-prefix "IPTABLES DROP: "
$ sudo iptables -A LOGGING -j DROP
$ sudo iptables -A INPUT -j LOGGING
$ sudo iptables -P INPUT DROP
$ sudo iptables -P FORWARD DROP
$ sudo iptables -P OUTPUT ACCEPT

ルールを保存します。

$ sudo service iptables save

"/etc/syslog.conf"に、DROPログの設定を追記します。

kern.=debug						/var/log/messages-debug

syslogとiptablesを再起動します。

$ sudo service syslog restart
$ sudo service iptables restart