- ベストアンサー
iptableコマンドを使ってファイアーフォール
現在、ファイアーフォール構築するようにいわれました。 ポート番号で、http https dns を開け、後は、dropにしました。 しかし、それでは、セキュリティ上問題あるということで、(勉強という意味を込めて)よりセキュリティの高い設定をするよういわれました。 まず、特定の国のIPアドレスは拒否するようにいわれました。 他に、IPアドレスで、特定のものを拒否、もしくは、受入るとしたら、どんなものがあるでしょうか? 教えてください。
- sakura20060208
- お礼率8% (4/48)
- ネットワーク
- 回答数1
- ありがとう数0
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
>よりセキュリティの高い設定をするよういわれました。 >特定の国のIPアドレスは拒否するようにいわれました。 こんばんは。 うちでもiptablesでファイアウォールを構築しています。 接続元IPアドレス以外にも、以下のようなポリシーで接続拒否をしています。 参考にしてください。 SynFlood攻撃をリミットバーストで拒否(ログにも記録) -m limit --limit 1/s --limit-burst 10 -j LOG --log-level=1 --log-prefix '## SYNFLOOD ## ' 不正なTCPフラグの組み合わさったパケットを拒否 -p tcp --tcp-flags ACK,FIN FIN -p tcp --tcp-flags ACK,PSH PSH -p tcp --tcp-flags ACK,URG URG など、他に10種類ほどの不正フラグの組み合わせパケットを拒否 外部からのIPスプーフィングを拒否 -i $WANPORT -s $INNERLAN -j DROP Authリクエストの拒否 -p tcp --dport 113 -j REJECT --reject-with tcp-reset
