mk-mode BLOG

このブログは自作の自宅サーバに構築した Debian GNU/Linux で運用しています。
PC・サーバ構築等の話題を中心に公開しております。(クローンサイト: GitHub Pages

ブログ開設日2009-01-05
サーバ連続稼働時間
Reading...
Page View 合計
Reading...
今日
Reading...
昨日
Reading...

Debian 8 (Jessie) - ファイアウォール設定!

[ サーバ構築 ] [ Debian, Linux, ファイアウォール ]

こんばんは。

Debian GNU/Linux 8 (Jessie) でファイアウォールを設定する方法についての記録です。

以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)

0. 前提条件

  • Debian GNU/Linux 8 (Jessie) での作業を想定。
  • 接続元のマシンは Linux Mint 17.1(64bit) を想定。
  • ufw (= Uncomplicated Firewall) という iptables のフロントエンドツールを使用する。
  • ファイアウォールのルールは、取り急ぎ最低限の設定のみ。(運用する環境やインストールしたサービスに合わせて適宜行う)

1. ufw のインストール

依存する iptables 等もインストールされる。

1
# apt-get -y install ufw

2. 各種コマンドについて

各種コマンドの使用法について簡単に説明する。
(以下のサービス名、ポート番号は一例)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# ufw status            # <= 状況確認
# ufw enable            # <= ファイアウォールの有効化
# ufw disable           # <= ファイアウォールの無効化
# ufw default deny      # <= 全アクセスの拒否
# ufw default allow     # <= 全アクセスの許可
# ufw deny smtp         # <= SMTP サービスのアクセスを拒否
# ufw allow ftp         # <= FTP サービスのアクセスを許可
# ufw deny 25/tcp       # <= TCP ポート 25 でのアクセスを拒否
# ufw allow 80/udp      # <= UDP ポート 80 でのアクセスを許可
# ufw allow 53          # <= TCP ポート 53, UDP ポート 53 でのアクセスを拒否
# ufw allow in http     # <= HTTP サービスのアクセスを IN のみ許可
# ufw reject out smtp   # <= SMTP サービスのアクセスを OUT のみ却下
# ufw allow proto tcp from any to any port 8080:8090
                        # <= TCP ポート 8080 〜 8090 での全アクセスを許可
# ufw allow proto tcp from 192.168.11.0/24 to any port 9999
                        # <= TCP ローカルネットワーク 192.168.11.0/24 からの
                        #    TCP ポート 9999 でのアクセスを許可
# ufw delete 3          # <= 3 番目のルールを削除

その他、詳細な説明は man ufw で確認可。

3. その他

一般的には、一旦全てのアクセスを拒否し、許可したいポートのみ解放するという形式となる。

サーバインストール直後(SSH サーバ導入済み)なら、以下のようにローカルネットからのみ SSH 接続を許可するようにし、後に各種サービスを運用するたびに解放するポートを設定すればよいだろう。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# ufw default deny

# ufw allow proto tcp from 192.168.11.0/24 to any port 9999

# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

# ufw status
Status: active

To                         Action      From
--                         ------      ----
9999/tcp                   ALLOW       192.168.11.0/24

ファイアウォールを有効にする際に SSH 接続できるように設定しておかないとリモートで操作できなるのでご注意を。


以上。

Comments