https://wiki.archlinux.jp/api.php?action=feedcontributions&feedformat=atom&user=TezcaArchWiki - 利用者の投稿記録 [ja]2026-04-18T14:23:59Z利用者の投稿記録MediaWiki 1.44.3https://wiki.archlinux.jp/index.php?title=%E3%82%B7%E3%83%B3%E3%83%97%E3%83%AB%E3%81%AA%E3%82%B9%E3%83%86%E3%83%BC%E3%83%88%E3%83%95%E3%83%AB%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB&diff=8835シンプルなステートフルファイアウォール2017-05-11T18:08:13Z<p>Tezca: /* INPUT チェイン */</p>
<hr />
<div>[[Category:ファイアウォール]]<br />
[[en:Simple stateful firewall]]<br />
[[es:Simple stateful firewall]]<br />
[[ru:Simple stateful firewall]]<br />
[[zh-hans:Simple stateful firewall]]<br />
{{Related articles start}}<br />
{{Related|インターネット共有}}<br />
{{Related|ルーター}}<br />
{{Related|ファイアウォール}}<br />
{{Related|Uncomplicated Firewall}}<br />
{{Related articles end}}<br />
このページでは [[iptables]] を使ってステートフルファイアウォールを設定する方法を説明します。また、ルールの意味と理由の説明も行います。シンプルに説明するため、大きく2つのセクションにページは分かれています。最初のセクションではシングルマシンのためのファイアウォールを扱い、2番目のセクションでは最初のセクションのファイアウォールに加えて NAT ゲートウェイを設定します。<br />
<br />
{{Warning|記述されているルールは順番通りに実行してください。リモートマシンにログインしている場合、ルールを設定している間にマシンから閉めだされてしまう可能性があります。以下の手順に従うのはローカルでログインしている場合に限ります。[[#iptables.rules のサンプルファイル|サンプル設定ファイル]]を使うことでこの問題を回避することが可能です。}}<br />
<br />
== 前提要件 ==<br />
<br />
{{Note|iptables のサポートを有効にしてカーネルがコンパイルされている必要があります。Arch Linux の標準カーネルには iptables のサポートが含まれています。}}<br />
<br />
まず、ユーザーランドユーティリティ {{Pkg|iptables}} をインストールしてください。もしくは既にインストール済みかどうか確認してください。<br />
<br />
この記事では iptables のルールセットが全く存在しないことを前提としています。現在のルールセットをチェックして、ルールが存在しないことを確認するには、次を実行:<br />
<br />
{{hc|# iptables-save|<nowiki><br />
# Generated by iptables-save v1.4.19.1 on Thu Aug 1 19:28:53 2013<br />
*filter<br />
:INPUT ACCEPT [50:3763]<br />
:FORWARD ACCEPT [0:0]<br />
:OUTPUT ACCEPT [30:3472]<br />
COMMIT<br />
# Completed on Thu Aug 1 19:28:53 2013<br />
</nowiki>}}<br />
<br />
もしくは<br />
<br />
{{hc|# iptables -nvL --line-numbers|<nowiki><br />
Chain INPUT (policy ACCEPT 156 packets, 12541 bytes)<br />
num pkts bytes target prot opt in out source destination<br />
<br />
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br />
num pkts bytes target prot opt in out source destination<br />
<br />
Chain OUTPUT (policy ACCEPT 82 packets, 8672 bytes)<br />
num pkts bytes target prot opt in out source destination<br />
</nowiki>}}<br />
<br />
ルールが存在する場合、デフォルトのルールセットをロードすることでルールをリセットすることが可能です:<br />
<br />
# iptables-restore < /etc/iptables/empty.rules<br />
<br />
もしくは、[[Iptables#ルールをリセットする]] を参照。<br />
<br />
== シングルマシン用のファイアウォール ==<br />
<br />
{{Note|iptables はチェインの上から下の順番でルールを処理していくため、よくヒットするルールをチェインの初めに置くことを推奨します。もちろん、実行されるロジックによって制約は出て来ます。また、ルールにはランタイムコストもあるため、バイト/パケット数のカウンタだけを見てルールの順番を並び替えるのは賢いとは言えません。}}<br />
<br />
=== 必要なチェインの作成 ===<br />
<br />
基本的なセットアップとして、2つのユーザー定義チェインを作成し、それを使ってファイアウォールのポートを開きます。<br />
<br />
# iptables -N TCP<br />
# iptables -N UDP<br />
<br />
もちろんチェインの名前は何でもかまいません。ここでは後のルールで使用するプロトコルに沿うように名前を決めています。<br />
<br />
=== FORWARD チェイン ===<br />
<br />
マシンを NAT ゲートウェイとしてセットアップしたい場合、[[#NAT ゲートウェイの設定]]を見て下さい。シングルマシンの場合、'''FORWARD''' チェインのポリシーをとりあえず '''DROP''' に設定して先に進みます:<br />
<br />
# iptables -P FORWARD DROP<br />
<br />
=== OUTPUT チェイン ===<br />
<br />
送信トラフィックはフィルタリングしません。セットアップがとても複雑になってしまい、いろいろと考える必要が出てくるからです。ここではシンプルに、'''OUTPUT''' ポリシーを '''ACCEPT''' に設定します。<br />
<br />
# iptables -P OUTPUT ACCEPT<br />
<br />
=== INPUT チェイン ===<br />
<br />
上記のチェインと同じように、勝手にルールを通過してしまわないように '''INPUT''' チェインのデフォルトポリシーは '''DROP''' に設定します。セキュアなファイアウォールを設定するときは、全てのトラフィックをドロップしてから、許可するトラフィックを指定するのがベストです。<br />
<br />
{{Warning|SSH でログインしている場合、以下の設定をすると SSH セッションが即座に切断されます。切断されないようにするには: (1) 下の INPUT チェインのルールを先に追加 (それでセッションが開いたままになります), (2) インバウンド SSH を許可するルールを追加 (接続が終了した場合に再接続できるようにするため) (3) ポリシーを設定。}}<br />
<br />
# iptables -P INPUT DROP<br />
<br />
あらゆるネットワークインターフェイスから受信されたパケットは全て '''INPUT''' チェインをまず通過します (パケットの送信先が対象のマシンになっている場合)。このチェインの中では、問題ないと思われるパケットだけを許可するようにします。<br />
<br />
INPUT チェインにはまず、確立済みの接続に属するトラフィックや、ICMP エラーまたはエコー応答 (ping されたときにホストが返すパケット) などの接続に関連する正当なトラフィックを許可するルールを追加します。'''ICMP''' は '''Internet Control Message Protocol''' の略です。ICMP メッセージは輻輳制御や MTU にとても重要なので、このルールによって通してやります。<br />
<br />
接続ステート {{ic|ESTABLISHED}} は最初の ({{ic|--ctstate NEW}}) 接続試行で許可された以前の他のルール、またはルールの設定時にアクティブになっていた接続 (例えばアクティブな SSH リモート接続) を示します:<br />
<br />
# iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
次のルールでは "loopback" (lo) インターフェイスからのトラフィックを全て許可します。多くのアプリケーションやサービスで必須となります。<br />
<br />
{{Note|ファイアウォールでトラフィックを規制したくない場合 "eth1" など信頼できるインターフェイスを追加することもできます。ただし、ネットワーク上のあらゆる場所 (例えばルーターなど) からのあらゆるトラフィックを転送する NAT 構成にしている場合、他の設定は無関係になるため注意してください。}}<br />
<br />
# iptables -A INPUT -i lo -j ACCEPT<br />
<br />
3番目のルールでは "INVALID" ステートに一致する全てのトラフィックを破棄します。トラフィックは4つの "state" カテゴリに分けることができます: NEW, ESTABLISHED, RELATED, INVALID。これによって "stateless" ファイアウォールではなく "stateful" ファイアウォールと呼称しています。ステートは "nf_conntrack_*" カーネルモジュールによって追跡されます。カーネルモジュールはルールを追加したときにカーネルによって自動的にロードされます。<br />
<br />
{{Note|<br />
* 以下のルールはヘッダーやチェック、TCP フラグがおかしいパケットや不適切な ICMP メッセージ (ホストに何も送信していないのにポート到達不可など)、シーケンス番号予測攻撃などによるシーケンス外のパケットを全て破棄します。"DROP" ターゲットは何も返答せずにパケットを破棄します。それに対して REJECT は礼儀正しくパケットを拒否します。INVALID なパケットに対する適切な "REJECT" レスポンスはありえないため、パケットを受信したことを誰にも分からないように DROP を使っています。<br />
* ICMPv6 近隣探索パケットは未追跡のまま、たとえ壊れていなくても常に "INVALID" に分類されます。次のコマンドで承認することができます: {{ic|iptables -A INPUT -p 41 -j ACCEPT}}。<br />
}}<br />
<br />
# iptables -A INPUT -m conntrack --ctstate INVALID -j DROP<br />
<br />
次のルールでは '''ICMP エコー要求''' (ping) を全て許可します。最初のパケットだけを NEW としてカウントし、後は全て RELATED,ESTABLISHED ルールで処理します。コンピュータはルーターではないので、他の ICMP トラフィックをステート NEW で許可する必要はありません。<br />
<br />
# iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT<br />
<br />
新しい接続を処理するために、INPUT チェインに TCP チェインと UDP チェインを適用します。いったん TCP チェインや UDP チェインで接続が許可されると、以降は<br />
RELATED/ESTABLISHED のルールで処理されます。TCP チェインと UDP チェインはどちらも新しい接続を許可するか、または丁寧にそれらを REJECT します。新しい TCP 接続は必ず SYN<br />
パケットから始まります。<br />
<br />
{{Note| NEW but not SYN is the only invalid TCP flag not covered by the INVALID state. The reason is because they are rarely malicious packets, and they should not just be dropped. Instead, we simply do not accept them, so they are rejected with a TCP RESET by the next rule.}}<br />
<br />
# iptables -A INPUT -p udp -m conntrack --ctstate NEW -j UDP<br />
# iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP<br />
<br />
We reject TCP connections with TCP RESET packets and UDP streams with ICMP port unreachable messages if the ports are not opened. This imitates default Linux behavior (RFC compliant), and it allows the sender to quickly close the connection and clean up.<br />
<br />
# iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable<br />
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset<br />
<br />
For other protocols, we add a final rule to the INPUT chain to reject all remaining incoming traffic with icmp protocol unreachable messages. This imitates Linux's default behavior.<br />
<br />
# iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
<br />
=== iptables.rules のサンプルファイル ===<br />
<br />
上記のコマンドを全て実行した時に作成される {{ic|iptables.rules}} ファイルの例:<br />
<br />
{{hc|/etc/iptables/iptables.rules|<br />
# Generated by iptables-save v1.4.18 on Sun Mar 17 14:21:12 2013<br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [0:0]<br />
:TCP - [0:0]<br />
:UDP - [0:0]<br />
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
-A INPUT -i lo -j ACCEPT<br />
-A INPUT -m conntrack --ctstate INVALID -j DROP<br />
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT<br />
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP<br />
-A INPUT -p tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP<br />
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -p tcp -j REJECT --reject-with tcp-reset<br />
-A INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
COMMIT<br />
# Completed on Sun Mar 17 14:21:12 2013<br />
}}<br />
<br />
このファイルは次のコマンドで生成できます:<br />
<br />
# iptables-save > /etc/iptables/iptables.rules<br />
<br />
生成したファイルは下のセクションで使うことができます。SSH 経由でリモートからファイアウォールを設定する場合、先に進む前に新しい SSH 接続を許可するため以下のルールを追加してください (ポート番号は必要に応じて変更してください):<br />
<br />
-A TCP -p tcp --dport 22 -j ACCEPT<br />
<br />
=== TCP と UDP チェイン ===<br />
<br />
TCP と UDP チェインには特定のポートで新規接続の TCP 接続と UDP ストリームを許可するルールを作成します。<br />
<br />
{{Note|リモートからアクセスする SSH や HTTP などのサービスの接続を許可するためのルールを追加する必要があります。}}<br />
<br />
==== 接続要求でポートを開く ====<br />
<br />
ウェブサーバーへの TCP 接続を許可するには (ポート 80):<br />
<br />
# iptables -A TCP -p tcp --dport 80 -j ACCEPT<br />
<br />
ウェブサーバーへの TCP 接続 (HTTPS) を許可するには (ポート 443):<br />
<br />
# iptables -A TCP -p tcp --dport 443 -j ACCEPT<br />
<br />
SSH のリモート接続を許可するには (ポート 22):<br />
<br />
# iptables -A TCP -p tcp --dport 22 -j ACCEPT<br />
<br />
DNS サーバーへの UDP ストリームを許可するには (ポート 53):<br />
<br />
# iptables -A UDP -p udp --dport 53 -j ACCEPT<br />
<br />
複数のポートにマッチするような、高度なルールについては {{Ic|man iptables}} を見て下さい。<br />
<br />
==== ポートノッキング ====<br />
デフォルトではファイアウォールによって閉じられているポートを、外部から開く方法がポートノッキングです。予め決めておいたポートに連続して接続試行することで行います。正しいポート"ノック" (接続試行) がなされた場合、ファイアウォールは特定のポートを開いて接続できるようにします。詳しくは[[ポートノッキング]]を見て下さい。<br />
<br />
=== なりすまし攻撃からの防護 ===<br />
<br />
{{Note|現在 {{ic|rp_filter}} はデフォルトで {{ic|/usr/lib/sysctl.d/50-default.conf}} で {{ic|1}} に設定されているため、以下の手順は必要ありません。}}<br />
<br />
インターネットやローカルネットワークからの予約ローカルアドレスの使用は sysctl で {{Ic|rp_filter}} (Reverse Path Filter) を 1 に設定することでブロックされます。以下の行を {{Ic|/etc/sysctl.d/90-firewall.conf}} ファイルに追加することで Linux カーネルに組み込まれている送信元アドレス検証が有効になります (詳しくは [[sysctl]] を参照)。カーネルによる検証は個別の iptables ルールよりもなりすましを上手く処理します:<br />
<br />
net.ipv4.conf.all.rp_filter=1<br />
<br />
統計が必要な場合、netfilter で設定することもできます:<br />
<br />
# iptables -t raw -I PREROUTING -m rpfilter --invert -j DROP<br />
<br />
{{Note|両方を有効にする意味はありません。netfilter の方法のほうが新しく IPv6 でも機能します。}}<br />
<br />
非同期ルーティングを使用する構成の場合、代わりに {{ic|1=rp_filter=2}} sysctl オプションを使用する必要があります。{{ic|--loose}} スイッチを {{ic|rpfilter}} モジュールに渡すことで netfilter と同じ設定ができます。<br />
<br />
=== コンピュータを"隠匿"する ===<br />
<br />
デスクトップマシンとして使っている場合、特定の接続要求はブロックするのが好ましいでしょう。<br />
<br />
==== ping リクエストのブロック ====<br />
<br />
'Ping' リクエストはデバイス間の通信状態を確認するために送信先アドレスに送られる ICMP パケットです。ネットワークが問題ないようでしたら、ping リクエストは全てブロックしてもかまいません。リクエストをブロックするだけではコンピュータを隠匿することにはならないので注意してください。たとえコンピュータに送られた全てのパケットを拒否したとしても、シンプルな nmap による IP 範囲の "ping スキャン" で露顕してしまいます。<br />
<br />
ブロックは初歩的な"防護"であり、将来問題が起こった時にデバッグするのが困難になります。あくまで勉強用にやってみるくらいにしてください。<br />
<br />
エコー要求をブロックするには、次の行を {{Ic|/etc/sysctl.d/90-firewall.conf}} ファイルに追加してください (詳しくは [[sysctl]] を参照):<br />
<br />
net.ipv4.icmp_echo_ignore_all = 1<br />
<br />
詳しくは iptables の man ページや http://www.snowman.net/projects/ipt_recent/ のドキュメントやサンプルを読んでください。<br />
<br />
==== ポートスキャナを騙す ====<br />
<br />
{{Note|以下の設定は [[Wikipedia:ja:DoS攻撃|DoS]] 攻撃に悪用される可能性があります。偽装した IP でパケットを送信してサービスへの接続をブロックさせてしまうという攻撃が考えられます。}}<br />
<br />
攻撃者はポートスキャンを使ってコンピュータの開いているポートを確認します。ポートスキャンによって攻撃者は稼働しているサービスを調査することができ、場合によってはサービスの脆弱性を利用してくる可能性があります。<br />
<br />
INVALID ステートルールは UDP, ACK, SYN スキャン以外の全てのポートスキャンを処理します (nmap ではそれぞれ -sU, -sA, -sS)。<br />
<br />
''ACK スキャン''は開いているポートを確認するのには使われませんが、ファイアウォールによってフィルタリングされているポートを識別するのには使われます。NEW ステートの TCP 接続は全て SYN チェックするため、ACK スキャンによって送信されたパケットは全て TCP RESET パケットで拒否されます。一部のファイアウォールはパケットを破棄するため、攻撃者はファイアウォールのルールを暴き出すことができます。<br />
<br />
recent モジュールを使うことで他の2種類のポートスキャンを騙すことができます。recent モジュールでホストを "recent" リストに追加して、特定の種類の攻撃を停止させます。現在の recent リストは {{Ic|/proc/net/xt_recent/}} で確認できます。<br />
<br />
===== SYN スキャン =====<br />
<br />
SYN スキャンでは、ポートスキャナは全てのポートに SYN パケットを送信します。閉じられているポートは TCP RESET パケットを返しますが、厳格なファイアウォールはパケットを破棄します。開いているポートは、ファイアウォールがあるかどうかに関わらず、SYN ACK パケットを返します。<br />
<br />
recent モジュールを使うことで接続を拒否されたホストの記録をつけることができ、開いているポートに SYN パケットが送信されたときにポートが閉じているかのように TCP RESET を返すことが可能です。開かれているポートが最初にスキャンされた場合、SYN ACK が返されてしまうため、確実にポートを隠匿するには標準以外のポートを ssh などのアプリケーションで使用する必要があります。<br />
<br />
まず、TCP チェインの一番上にルールを追加します。以下のルールは過去60秒以内に TCP-PORTSCAN リストに入ったホストに対して TCP RESET で応答します。{{Ic|--update}} スイッチで recent リストが更新され、60秒のカウンターがリセットされます。<br />
<br />
# iptables -I TCP -p tcp -m recent --update --seconds 60 --name TCP-PORTSCAN -j REJECT --reject-with tcp-reset<br />
<br />
そして TCP パケットを拒否するルールを修正して拒否されたパケットを送信したホストを TCP-PORTSCAN リストに追加するようにしてください:<br />
<br />
# iptables -D INPUT -p tcp -j REJECT --reject-with tcp-reset<br />
# iptables -A INPUT -p tcp -m recent --set --name TCP-PORTSCAN -j REJECT --reject-with tcp-reset<br />
<br />
===== UDP スキャン =====<br />
<br />
UDP ポートスキャンは TCP の SYN スキャンと似ていますが UDP は "connectionless" プロトコルです。ハンドシェイクや ACK は存在しません。代わりに、スキャナは各 UDP ポートに UDP パケットを送信します。ポートが閉じていると ICMP のポート到達不可メッセージが返ってきますが、ポートが開いている場合、何も返答が返ってきません。UDP は "reliable" プロトコルではないので、パケットが消失したかどうか知る手段がスキャナにはなく、返答がないポートを何度も確認する必要があります。<br />
<br />
Linux カーネルは ICMP ポートの到達不可メッセージを非常にゆっくりと送信するため、Linux マシンに対して完全な UDP スキャンをかけようとすると10時間以上かかります。それでも、一般的なポートは識別できるため、SYN スキャンに対してと同じ対抗策を UDP スキャンに対しても設定すると良いでしょう。<br />
<br />
まず UDP-PORTSCAN リストのホストからのパケットを拒否するルールを UDP チェインの一番上に追加してください:<br />
<br />
# iptables -I UDP -p udp -m recent --update --seconds 60 --name UDP-PORTSCAN -j REJECT --reject-with icmp-port-unreachable<br />
<br />
そして、UDP の拒否パケットルールを以下のように修正します:<br />
<br />
# iptables -D INPUT -p udp -j REJECT --reject-with icmp-port-unreachable<br />
# iptables -A INPUT -p udp -m recent --set --name UDP-PORTSCAN -j REJECT --reject-with icmp-port-unreachable<br />
<br />
===== 最終的なルールのリストア =====<br />
<br />
If either or both of the portscanning tricks above were used the final default rule is no longer the last rule in the INPUT chain. It needs to be the last rule otherwise it will intercept the trick port scanner rules you just added and they will never be used. Simply delete the rule (-D), then add it once again using append (-A) which will place it at the end of the chain.<br />
<br />
# iptables -D INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
# iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
<br />
=== 他の攻撃からの防護 ===<br />
<br />
関連するカーネルパラメータは [[sysctl#TCP/IP スタックの防御]] に載っています。<br />
<br />
==== ブルートフォース攻撃 ====<br />
<br />
残念ながら、外部 IP アドレスからアクセスできるサービスにはよくブルートフォース攻撃が行われます。ブルートフォース攻撃が普遍的な理由としては、攻撃を行うのがとても簡単で、攻撃用のツールが数多く存在するということが挙げられます。幸いに、ブルートフォース攻撃からサービスを守るための方法はいろいろあります。その一つとして、適切な {{ic|iptables}} ルールを使って接続を開始しようとするパケットが一定数あったときに IP をブラックリストに入れる方法があります。また、ログファイルを監視して、試行失敗からブラックリストを作成する専用のデーモンを使うこともできます。<br />
{{Warning|IP ブラックリストを使うことで攻撃を多少止めることはできますが、別段にデーモンを使う必要があり、ログがちゃんと記録されてないと上手くいきません (攻撃者が執拗にサーバーを攻撃した場合、{{ic|/var}} を含むパーティションが満杯になる可能性があります)。さらに、攻撃者にあなたの IP アドレスが知られてしまったら、攻撃者はソースヘッダを偽装してパケットを送りつけることができるため、サーバーから締め出される恐れもあります。ブルートフォース攻撃については [[SSH 鍵]]がスマートな解決法になるでしょう。}}<br />
パスワード認証 (特に {{ic|sshd}}) が何回も失敗した時にその IP を接続不可にするパッケージとして [[Fail2ban]] と [[Sshguard]] が存在します。どちらも iptables のルールを更新することで、ブラックリストに入っている IP アドレスからの接続を拒否します。<br />
<br />
以下は {{ic|iptables}} を使って SSH のブルートフォース攻撃を止めるための設定例です:<br />
<br />
# iptables -N IN_SSH<br />
# iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH<br />
# iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 3 --seconds 10 -j DROP<br />
# iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 4 --seconds 1800 -j DROP <br />
# iptables -A IN_SSH -m recent --name sshbf --set -j ACCEPT<br />
<br />
Most of the options should be self-explanatory, they allow for three connection packets in ten seconds. Further tries in that time will blacklist the IP. The next rule adds a quirk by allowing a total of four attempts in 30 minutes. This is done because some bruteforce attacks are actually performed slow and not in a burst of attempts. The rules employ a number of additional options. To read more about them, check the original reference for this example: [http://compilefailure.blogspot.com/2011/04/better-ssh-brute-force-prevention-with.html compilefailure.blogspot.com]<br />
<br />
Using the above rules, now ensure that:<br />
# iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH<br />
is in an appropriate position in the iptables.rules file. <br />
<br />
This arrangement works for the IN_SSH rule if you followed this entire wiki so far:<br />
*<br />
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT<br />
-A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j IN_SSH<br />
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP<br />
*<br />
<br />
The above rules can, of course, be used to protect any service, though protecting the SSH daemon is probably the most often required one.<br />
<br />
{{Tip|For self-testing the rules after setup, the actual blacklist happening can slow the test making it difficult to fine-tune parameters. One can watch the incoming attempts via {{ic|cat /proc/net/xt_recent/sshbf}}. To unblock the own IP during testing, root is needed {{ic|# echo / > /proc/net/xt_recent/sshbf}}}}<br />
<br />
=== ルールの保存 ===<br />
<br />
ルールセットの設定が完了したら、ハードドライブに保存して、マシンを起動する度にロードされるようにします。<br />
<br />
ルールの設定を保存する場所は systemd のユニットファイルで指定します:<br />
<br />
iptables=/etc/iptables/iptables.rules<br />
ip6tables=/etc/iptables/ip6tables.rules<br />
<br />
次のコマンドでルールを保存します:<br />
<br />
# iptables-save > /etc/iptables/iptables.rules<br />
<br />
そして '''iptables''' [[デーモン]]を有効化して、起動時にルールがロードされるようにしてください。<br />
<br />
ルールが正しくロードされているか確認するには次のコマンドを使用:<br />
<br />
# systemctl start iptables.service && systemctl status iptables.service<br />
<br />
=== IPv6 ===<br />
<br />
IPv6 を使用しない場合 (ほとんどの ISP は IPv6 をサポートしていません)、[[IPv6#IPv6 の無効化|無効化]]したほうが良いでしょう。<br />
<br />
使用する場合、IPv6 のファイアウォールルールを有効にしてください。まず IPv4 のルールをベースとしてコピー:<br />
# cp /etc/iptables/iptables.rules /etc/iptables/ip6tables.rules<br />
最初に、ルールの中で記述している IP を IPv4 のフォーマットから IPv6 のフォーマットに変換します。<br />
<br />
Next, a few of the rules (built as example in this article for IPv4) have to be adapted. IPv6 obtained a new ICMPv6 protocol, replacing ICMP. Hence, the reject error return codes {{ic|--reject-with icmp-port-unreachable}} and {{ic|--reject-with icmp-proto-unreachable}} have to be converted to ICMPv6 codes. <br />
<br />
The available ICMPv6 error codes are listed in [https://tools.ietf.org/html/rfc4443#section-3.1 RFC 4443], which specifies connection attempts blocked by a firewall rule should use {{ic|--reject-with icmp6-adm-prohibited}}. Doing so will basically inform the remote system that the connection was rejected by a firewall, rather than a listening service. <br />
<br />
If it is preferred not to explicitly inform about the existence of a firewall filter, the packet may also be rejected without the message: <br />
<br />
-A INPUT -j REJECT<br />
<br />
The above will reject with the default return error of {{ic|--reject-with-icmp6-port-unreachable}}. You should note though, that identifying a firewall is a basic feature of port scanning applications and most will identify it regardless. <br />
<br />
In the next step make sure the protocol and extension are changed to be IPv6 appropriate for the rule regarding all new incoming ICMP echo requests (pings):<br />
<br />
# ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 128 -m conntrack --ctstate NEW -j ACCEPT<br />
<br />
Netfilter conntrack does not appear to track ICMPv6 Neighbor Discovery Protocol (the IPv6 equivalent of ARP), so we need to allow ICMPv6 traffic regardless of state for all directly attached subnets. The following should be inserted after dropping {{ic|--ctstate INVALID}}, but before any other DROP or REJECT targets, along with a corresponding line for each directly attached subnet:<br />
<br />
# ip6tables -A INPUT -s fe80::/10 -p ipv6-icmp -j ACCEPT<br />
<br />
Since there is no kernel reverse path filter for IPv6, you may want to enable one in ''ip6tables'' with the following:<br />
<br />
# ip6tables -t raw -A PREROUTING -m rpfilter -j ACCEPT<br />
# ip6tables -t raw -A PREROUTING -j DROP<br />
<br />
設定が完了したら、''ip6tables'' サービスを[[有効化]]してください。''iptables'' とは別個に実行させます。<br />
<br />
== NAT ゲートウェイの設定 ==<br />
<br />
このセクションでは NAT ゲートウェイについて扱います。[[#シングルマシン用のファイアウォール|ガイドの前半部分]]を読んで '''INPUT''', '''OUTPUT''', '''TCP''', '''UDP''' チェインを設定していることが前提です。これまで全てのルールは '''filter''' テーブルに作成していました。このセクションでは、'''nat''' テーブルも使用していきます。<br />
<br />
=== フィルターテーブルの設定 ===<br />
<br />
==== 必要なチェインの作成 ====<br />
<br />
以下の設定では、2つの異なるチェインをフィルターテーブルで使用します: '''fw-interfaces''' と '''fw-open''' チェインです。以下のコマンドでチェインを作成してください:<br />
<br />
# iptables -N fw-interfaces<br />
# iptables -N fw-open<br />
<br />
==== FORWARD チェインの設定 ====<br />
<br />
'''FORWARD''' チェインの設定は上のセクションにある '''INPUT''' チェインの設定と大体同じです。<br />
<br />
Now we set up a rule with the '''conntrack''' match, identical to the one in the '''INPUT''' chain:<br />
<br />
# iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
The next step is to enable forwarding for trusted interfaces and to make all packets pass the '''fw-open''' chain.<br />
<br />
# iptables -A FORWARD -j fw-interfaces <br />
# iptables -A FORWARD -j fw-open <br />
<br />
The remaining packets are denied with an '''ICMP''' message:<br />
<br />
# iptables -A FORWARD -j REJECT --reject-with icmp-host-unreachable<br />
# iptables -P FORWARD DROP<br />
<br />
==== fw-interfaces と fw-open チェインの設定 ====<br />
<br />
The meaning of the '''fw-interfaces''' and '''fw-open''' chains is explained later, when we deal with the '''POSTROUTING''' and '''PREROUTING''' chains in the '''nat''' table, respectively.<br />
<br />
=== nat テーブルの設定 ===<br />
<br />
このセクションでは、出力インターフェイス (公のインターネット IP が付与されるインターフェイス) の名前を '''ppp0''' とします。使用する出力インターフェイスが別の名前の場合、以下のルールで使われている名前もそれにあわせて変更するようにしてください。<br />
<br />
==== POSTROUTING チェインの設定 ====<br />
<br />
Now, we have to define who is allowed to connect to the internet. Let's assume we have the subnet '''192.168.0.0/24''' (which means all addresses that are of the form 192.168.0.*) on '''eth0'''. We first need to accept the machines on this interface in the FORWARD table, that is why we created the '''fw-interfaces''' chain above:<br />
<br />
# iptables -A fw-interfaces -i eth0 -j ACCEPT<br />
<br />
Now, we have to alter all outgoing packets so that they have our public IP address as the source address, instead of the local LAN address. To do this, we use the '''MASQUERADE''' target:<br />
<br />
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE<br />
<br />
上記の '''-o ppp0''' パラメータは必ず必要なので忘れないでください。パラメータを記述しなかった場合、ネットワークが接続できなくなります。<br />
<br />
Let's assume we have another subnet, '''10.3.0.0/16''' (which means all addresses 10.3.*.*), on the interface '''eth1'''. We add the same rules as above again:<br />
<br />
# iptables -A fw-interfaces -i eth1 -j ACCEPT<br />
# iptables -t nat -A POSTROUTING -s 10.3.0.0/16 -o ppp0 -j MASQUERADE<br />
<br />
最後に[[インターネット共有#パケット転送の有効化|パケット転送を有効化]]してください (既に有効にしている場合は必要ありません)。<br />
<br />
Machines from these subnets can now use your new NAT machine as their gateway. Note that you may want to set up a DNS and DHCP server like '''dnsmasq''' or a combination of '''bind''' and '''dhcpd''' to simplify network settings DNS resolution on the client machines. This is not the topic of this guide.<br />
<br />
==== PREROUTING チェインの設定 ====<br />
<br />
Sometimes, we want to change the address of an incoming packet from the gateway to a LAN machine. To do this, we use the '''fw-open''' chain defined above, as well as the '''PREROUTING''' chain in the '''nat''' table in the following two simple examples. <br />
<br />
First, we want to change all incoming SSH packets (port 22) to the ssh server of the machine '''192.168.0.5''':<br />
<br />
# iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to 192.168.0.5<br />
# iptables -A fw-open -d 192.168.0.5 -p tcp --dport 22 -j ACCEPT<br />
<br />
The second example will show you how to change packets to a different port than the incoming port. We want to change any incoming connection on port '''8000''' to our web server on '''192.168.0.6''', port '''80''':<br />
<br />
# iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8000 -j DNAT --to 192.168.0.6:80<br />
# iptables -A fw-open -d 192.168.0.6 -p tcp --dport 80 -j ACCEPT<br />
<br />
The same setup also works with udp packets.<br />
<br />
=== ルールの保存 ===<br />
<br />
ルールを保存してください:<br />
<br />
# iptables-save > /etc/iptables/iptables.rules<br />
<br />
そして '''iptables''' [[デーモン]]を有効にすることで、起動時にルールがロードされるようにします。<br />
<br />
== 参照 ==<br />
<br />
*[http://www.webhostingtalk.com/showthread.php?t=456571 Methods to block SSH attacks]<br />
*[http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/ Using iptables to block brute force attacks]<br />
*[http://linuxconfig.org/collection-of-basic-linux-firewall-iptables-rules 20 Iptables Examples For New SysAdmins]<br />
*[http://www.thegeekstuff.com/2011/06/iptables-rules-examples/ 25 Most Frequently Used Linux IPTables Rules Examples]</div>Tezcahttps://wiki.archlinux.jp/index.php?title=%E3%82%B7%E3%83%B3%E3%83%97%E3%83%AB%E3%81%AA%E3%82%B9%E3%83%86%E3%83%BC%E3%83%88%E3%83%95%E3%83%AB%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB&diff=8834シンプルなステートフルファイアウォール2017-05-11T09:17:59Z<p>Tezca: /* INPUT チェイン */</p>
<hr />
<div>[[Category:ファイアウォール]]<br />
[[en:Simple stateful firewall]]<br />
[[es:Simple stateful firewall]]<br />
[[ru:Simple stateful firewall]]<br />
[[zh-hans:Simple stateful firewall]]<br />
{{Related articles start}}<br />
{{Related|インターネット共有}}<br />
{{Related|ルーター}}<br />
{{Related|ファイアウォール}}<br />
{{Related|Uncomplicated Firewall}}<br />
{{Related articles end}}<br />
このページでは [[iptables]] を使ってステートフルファイアウォールを設定する方法を説明します。また、ルールの意味と理由の説明も行います。シンプルに説明するため、大きく2つのセクションにページは分かれています。最初のセクションではシングルマシンのためのファイアウォールを扱い、2番目のセクションでは最初のセクションのファイアウォールに加えて NAT ゲートウェイを設定します。<br />
<br />
{{Warning|記述されているルールは順番通りに実行してください。リモートマシンにログインしている場合、ルールを設定している間にマシンから閉めだされてしまう可能性があります。以下の手順に従うのはローカルでログインしている場合に限ります。[[#iptables.rules のサンプルファイル|サンプル設定ファイル]]を使うことでこの問題を回避することが可能です。}}<br />
<br />
== 前提要件 ==<br />
<br />
{{Note|iptables のサポートを有効にしてカーネルがコンパイルされている必要があります。Arch Linux の標準カーネルには iptables のサポートが含まれています。}}<br />
<br />
まず、ユーザーランドユーティリティ {{Pkg|iptables}} をインストールしてください。もしくは既にインストール済みかどうか確認してください。<br />
<br />
この記事では iptables のルールセットが全く存在しないことを前提としています。現在のルールセットをチェックして、ルールが存在しないことを確認するには、次を実行:<br />
<br />
{{hc|# iptables-save|<nowiki><br />
# Generated by iptables-save v1.4.19.1 on Thu Aug 1 19:28:53 2013<br />
*filter<br />
:INPUT ACCEPT [50:3763]<br />
:FORWARD ACCEPT [0:0]<br />
:OUTPUT ACCEPT [30:3472]<br />
COMMIT<br />
# Completed on Thu Aug 1 19:28:53 2013<br />
</nowiki>}}<br />
<br />
もしくは<br />
<br />
{{hc|# iptables -nvL --line-numbers|<nowiki><br />
Chain INPUT (policy ACCEPT 156 packets, 12541 bytes)<br />
num pkts bytes target prot opt in out source destination<br />
<br />
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br />
num pkts bytes target prot opt in out source destination<br />
<br />
Chain OUTPUT (policy ACCEPT 82 packets, 8672 bytes)<br />
num pkts bytes target prot opt in out source destination<br />
</nowiki>}}<br />
<br />
ルールが存在する場合、デフォルトのルールセットをロードすることでルールをリセットすることが可能です:<br />
<br />
# iptables-restore < /etc/iptables/empty.rules<br />
<br />
もしくは、[[Iptables#ルールをリセットする]] を参照。<br />
<br />
== シングルマシン用のファイアウォール ==<br />
<br />
{{Note|iptables はチェインの上から下の順番でルールを処理していくため、よくヒットするルールをチェインの初めに置くことを推奨します。もちろん、実行されるロジックによって制約は出て来ます。また、ルールにはランタイムコストもあるため、バイト/パケット数のカウンタだけを見てルールの順番を並び替えるのは賢いとは言えません。}}<br />
<br />
=== 必要なチェインの作成 ===<br />
<br />
基本的なセットアップとして、2つのユーザー定義チェインを作成し、それを使ってファイアウォールのポートを開きます。<br />
<br />
# iptables -N TCP<br />
# iptables -N UDP<br />
<br />
もちろんチェインの名前は何でもかまいません。ここでは後のルールで使用するプロトコルに沿うように名前を決めています。<br />
<br />
=== FORWARD チェイン ===<br />
<br />
マシンを NAT ゲートウェイとしてセットアップしたい場合、[[#NAT ゲートウェイの設定]]を見て下さい。シングルマシンの場合、'''FORWARD''' チェインのポリシーをとりあえず '''DROP''' に設定して先に進みます:<br />
<br />
# iptables -P FORWARD DROP<br />
<br />
=== OUTPUT チェイン ===<br />
<br />
送信トラフィックはフィルタリングしません。セットアップがとても複雑になってしまい、いろいろと考える必要が出てくるからです。ここではシンプルに、'''OUTPUT''' ポリシーを '''ACCEPT''' に設定します。<br />
<br />
# iptables -P OUTPUT ACCEPT<br />
<br />
=== INPUT チェイン ===<br />
<br />
上記のチェインと同じように、勝手にルールを通過してしまわないように '''INPUT''' チェインのデフォルトポリシーは '''DROP''' に設定します。セキュアなファイアウォールを設定するときは、全てのトラフィックをドロップしてから、許可するトラフィックを指定するのがベストです。<br />
<br />
{{Warning|SSH でログインしている場合、以下の設定をすると SSH セッションが即座に切断されます。切断されないようにするには: (1) 下の INPUT チェインのルールを先に追加 (それでセッションが開いたままになります), (2) インバウンド SSH を許可するルールを追加 (接続が終了した場合に再接続できるようにするため) (3) ポリシーを設定。}}<br />
<br />
# iptables -P INPUT DROP<br />
<br />
あらゆるネットワークインターフェイスから受信されたパケットは全て '''INPUT''' チェインをまず通過します (パケットの送信先が対象のマシンになっている場合)。このチェインの中では、問題ないと思われるパケットだけを許可するようにします。<br />
<br />
INPUT チェインにはまず、確立済みの接続に属するトラフィックや、ICMP エラーまたはエコー応答 (ping されたときにホストが返すパケット) などの接続に関連する正当なトラフィックを許可するルールを追加します。'''ICMP''' は '''Internet Control Message Protocol''' の略です。ICMP メッセージは輻輳制御や MTU にとても重要なので、このルールによって通してやります。<br />
<br />
接続ステート {{ic|ESTABLISHED}} は最初の ({{ic|--ctstate NEW}}) 接続試行で許可された以前の他のルール、またはルールの設定時にアクティブになっていた接続 (例えばアクティブな SSH リモート接続) を示します:<br />
<br />
# iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
次のルールでは "loopback" (lo) インターフェイスからのトラフィックを全て許可します。多くのアプリケーションやサービスで必須となります。<br />
<br />
{{Note|ファイアウォールでトラフィックを規制したくない場合 "eth1" など信頼できるインターフェイスを追加することもできます。ただし、ネットワーク上のあらゆる場所 (例えばルーターなど) からのあらゆるトラフィックを転送する NAT 構成にしている場合、他の設定は無関係になるため注意してください。}}<br />
<br />
# iptables -A INPUT -i lo -j ACCEPT<br />
<br />
3番目のルールでは "INVALID" ステートに一致する全てのトラフィックを破棄します。トラフィックは4つの "state" カテゴリに分けることができます: NEW, ESTABLISHED, RELATED, INVALID。これによって "stateless" ファイアウォールではなく "stateful" ファイアウォールと呼称しています。ステートは "nf_conntrack_*" カーネルモジュールによって追跡されます。カーネルモジュールはルールを追加したときにカーネルによって自動的にロードされます。<br />
<br />
{{Note|<br />
* 以下のルールはヘッダーやチェック、TCP フラグがおかしいパケットや不適切な ICMP メッセージ (ホストに何も送信していないのにポート到達不可など)、シーケンス番号予測攻撃などによるシーケンス外のパケットを全て破棄します。"DROP" ターゲットは何も返答せずにパケットを破棄します。それに対して REJECT は礼儀正しくパケットを拒否します。INVALID なパケットに対する適切な "REJECT" レスポンスはありえないため、パケットを受信したことを誰にも分からないように DROP を使っています。<br />
* ICMPv6 近隣探索パケットは未追跡のまま、たとえ壊れていなくても常に "INVALID" に分類されます。次のコマンドで承認することができます: {{ic|iptables -A INPUT -p 41 -j ACCEPT}}。<br />
}}<br />
<br />
# iptables -A INPUT -m conntrack --ctstate INVALID -j DROP<br />
<br />
次のルールでは '''ICMP エコー要求''' (ping) を全て許可します。最初のパケットだけを NEW としてカウントし、後は全て RELATED,ESTABLISHED ルールで処理します。コンピュータはルーターではないので、他の ICMP トラフィックをステート NEW で許可する必要はありません。<br />
<br />
# iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT<br />
<br />
新しい接続を処理するために、INPUT チェインに TCP チェインと UDP チェインを適用します。いったん TCP チェインや UDP チェインで接続が許可されると、以降は<br />
RRELATED/ESTABLISHED のルールで処理されます。TCP チェインと UDP チェインはどちらも新しい接続を許可するか、または丁寧にそれらを REJECT します。新しい TCP 接続は必ず SYN<br />
パケットから始まります。<br />
<br />
{{Note| NEW but not SYN is the only invalid TCP flag not covered by the INVALID state. The reason is because they are rarely malicious packets, and they should not just be dropped. Instead, we simply do not accept them, so they are rejected with a TCP RESET by the next rule.}}<br />
<br />
# iptables -A INPUT -p udp -m conntrack --ctstate NEW -j UDP<br />
# iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP<br />
<br />
We reject TCP connections with TCP RESET packets and UDP streams with ICMP port unreachable messages if the ports are not opened. This imitates default Linux behavior (RFC compliant), and it allows the sender to quickly close the connection and clean up.<br />
<br />
# iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable<br />
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset<br />
<br />
For other protocols, we add a final rule to the INPUT chain to reject all remaining incoming traffic with icmp protocol unreachable messages. This imitates Linux's default behavior.<br />
<br />
# iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
<br />
=== iptables.rules のサンプルファイル ===<br />
<br />
上記のコマンドを全て実行した時に作成される {{ic|iptables.rules}} ファイルの例:<br />
<br />
{{hc|/etc/iptables/iptables.rules|<br />
# Generated by iptables-save v1.4.18 on Sun Mar 17 14:21:12 2013<br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [0:0]<br />
:TCP - [0:0]<br />
:UDP - [0:0]<br />
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
-A INPUT -i lo -j ACCEPT<br />
-A INPUT -m conntrack --ctstate INVALID -j DROP<br />
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT<br />
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP<br />
-A INPUT -p tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP<br />
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -p tcp -j REJECT --reject-with tcp-reset<br />
-A INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
COMMIT<br />
# Completed on Sun Mar 17 14:21:12 2013<br />
}}<br />
<br />
このファイルは次のコマンドで生成できます:<br />
<br />
# iptables-save > /etc/iptables/iptables.rules<br />
<br />
生成したファイルは下のセクションで使うことができます。SSH 経由でリモートからファイアウォールを設定する場合、先に進む前に新しい SSH 接続を許可するため以下のルールを追加してください (ポート番号は必要に応じて変更してください):<br />
<br />
-A TCP -p tcp --dport 22 -j ACCEPT<br />
<br />
=== TCP と UDP チェイン ===<br />
<br />
TCP と UDP チェインには特定のポートで新規接続の TCP 接続と UDP ストリームを許可するルールを作成します。<br />
<br />
{{Note|リモートからアクセスする SSH や HTTP などのサービスの接続を許可するためのルールを追加する必要があります。}}<br />
<br />
==== 接続要求でポートを開く ====<br />
<br />
ウェブサーバーへの TCP 接続を許可するには (ポート 80):<br />
<br />
# iptables -A TCP -p tcp --dport 80 -j ACCEPT<br />
<br />
ウェブサーバーへの TCP 接続 (HTTPS) を許可するには (ポート 443):<br />
<br />
# iptables -A TCP -p tcp --dport 443 -j ACCEPT<br />
<br />
SSH のリモート接続を許可するには (ポート 22):<br />
<br />
# iptables -A TCP -p tcp --dport 22 -j ACCEPT<br />
<br />
DNS サーバーへの UDP ストリームを許可するには (ポート 53):<br />
<br />
# iptables -A UDP -p udp --dport 53 -j ACCEPT<br />
<br />
複数のポートにマッチするような、高度なルールについては {{Ic|man iptables}} を見て下さい。<br />
<br />
==== ポートノッキング ====<br />
デフォルトではファイアウォールによって閉じられているポートを、外部から開く方法がポートノッキングです。予め決めておいたポートに連続して接続試行することで行います。正しいポート"ノック" (接続試行) がなされた場合、ファイアウォールは特定のポートを開いて接続できるようにします。詳しくは[[ポートノッキング]]を見て下さい。<br />
<br />
=== なりすまし攻撃からの防護 ===<br />
<br />
{{Note|現在 {{ic|rp_filter}} はデフォルトで {{ic|/usr/lib/sysctl.d/50-default.conf}} で {{ic|1}} に設定されているため、以下の手順は必要ありません。}}<br />
<br />
インターネットやローカルネットワークからの予約ローカルアドレスの使用は sysctl で {{Ic|rp_filter}} (Reverse Path Filter) を 1 に設定することでブロックされます。以下の行を {{Ic|/etc/sysctl.d/90-firewall.conf}} ファイルに追加することで Linux カーネルに組み込まれている送信元アドレス検証が有効になります (詳しくは [[sysctl]] を参照)。カーネルによる検証は個別の iptables ルールよりもなりすましを上手く処理します:<br />
<br />
net.ipv4.conf.all.rp_filter=1<br />
<br />
統計が必要な場合、netfilter で設定することもできます:<br />
<br />
# iptables -t raw -I PREROUTING -m rpfilter --invert -j DROP<br />
<br />
{{Note|両方を有効にする意味はありません。netfilter の方法のほうが新しく IPv6 でも機能します。}}<br />
<br />
非同期ルーティングを使用する構成の場合、代わりに {{ic|1=rp_filter=2}} sysctl オプションを使用する必要があります。{{ic|--loose}} スイッチを {{ic|rpfilter}} モジュールに渡すことで netfilter と同じ設定ができます。<br />
<br />
=== コンピュータを"隠匿"する ===<br />
<br />
デスクトップマシンとして使っている場合、特定の接続要求はブロックするのが好ましいでしょう。<br />
<br />
==== ping リクエストのブロック ====<br />
<br />
'Ping' リクエストはデバイス間の通信状態を確認するために送信先アドレスに送られる ICMP パケットです。ネットワークが問題ないようでしたら、ping リクエストは全てブロックしてもかまいません。リクエストをブロックするだけではコンピュータを隠匿することにはならないので注意してください。たとえコンピュータに送られた全てのパケットを拒否したとしても、シンプルな nmap による IP 範囲の "ping スキャン" で露顕してしまいます。<br />
<br />
ブロックは初歩的な"防護"であり、将来問題が起こった時にデバッグするのが困難になります。あくまで勉強用にやってみるくらいにしてください。<br />
<br />
エコー要求をブロックするには、次の行を {{Ic|/etc/sysctl.d/90-firewall.conf}} ファイルに追加してください (詳しくは [[sysctl]] を参照):<br />
<br />
net.ipv4.icmp_echo_ignore_all = 1<br />
<br />
詳しくは iptables の man ページや http://www.snowman.net/projects/ipt_recent/ のドキュメントやサンプルを読んでください。<br />
<br />
==== ポートスキャナを騙す ====<br />
<br />
{{Note|以下の設定は [[Wikipedia:ja:DoS攻撃|DoS]] 攻撃に悪用される可能性があります。偽装した IP でパケットを送信してサービスへの接続をブロックさせてしまうという攻撃が考えられます。}}<br />
<br />
攻撃者はポートスキャンを使ってコンピュータの開いているポートを確認します。ポートスキャンによって攻撃者は稼働しているサービスを調査することができ、場合によってはサービスの脆弱性を利用してくる可能性があります。<br />
<br />
INVALID ステートルールは UDP, ACK, SYN スキャン以外の全てのポートスキャンを処理します (nmap ではそれぞれ -sU, -sA, -sS)。<br />
<br />
''ACK スキャン''は開いているポートを確認するのには使われませんが、ファイアウォールによってフィルタリングされているポートを識別するのには使われます。NEW ステートの TCP 接続は全て SYN チェックするため、ACK スキャンによって送信されたパケットは全て TCP RESET パケットで拒否されます。一部のファイアウォールはパケットを破棄するため、攻撃者はファイアウォールのルールを暴き出すことができます。<br />
<br />
recent モジュールを使うことで他の2種類のポートスキャンを騙すことができます。recent モジュールでホストを "recent" リストに追加して、特定の種類の攻撃を停止させます。現在の recent リストは {{Ic|/proc/net/xt_recent/}} で確認できます。<br />
<br />
===== SYN スキャン =====<br />
<br />
SYN スキャンでは、ポートスキャナは全てのポートに SYN パケットを送信します。閉じられているポートは TCP RESET パケットを返しますが、厳格なファイアウォールはパケットを破棄します。開いているポートは、ファイアウォールがあるかどうかに関わらず、SYN ACK パケットを返します。<br />
<br />
recent モジュールを使うことで接続を拒否されたホストの記録をつけることができ、開いているポートに SYN パケットが送信されたときにポートが閉じているかのように TCP RESET を返すことが可能です。開かれているポートが最初にスキャンされた場合、SYN ACK が返されてしまうため、確実にポートを隠匿するには標準以外のポートを ssh などのアプリケーションで使用する必要があります。<br />
<br />
まず、TCP チェインの一番上にルールを追加します。以下のルールは過去60秒以内に TCP-PORTSCAN リストに入ったホストに対して TCP RESET で応答します。{{Ic|--update}} スイッチで recent リストが更新され、60秒のカウンターがリセットされます。<br />
<br />
# iptables -I TCP -p tcp -m recent --update --seconds 60 --name TCP-PORTSCAN -j REJECT --reject-with tcp-reset<br />
<br />
そして TCP パケットを拒否するルールを修正して拒否されたパケットを送信したホストを TCP-PORTSCAN リストに追加するようにしてください:<br />
<br />
# iptables -D INPUT -p tcp -j REJECT --reject-with tcp-reset<br />
# iptables -A INPUT -p tcp -m recent --set --name TCP-PORTSCAN -j REJECT --reject-with tcp-reset<br />
<br />
===== UDP スキャン =====<br />
<br />
UDP ポートスキャンは TCP の SYN スキャンと似ていますが UDP は "connectionless" プロトコルです。ハンドシェイクや ACK は存在しません。代わりに、スキャナは各 UDP ポートに UDP パケットを送信します。ポートが閉じていると ICMP のポート到達不可メッセージが返ってきますが、ポートが開いている場合、何も返答が返ってきません。UDP は "reliable" プロトコルではないので、パケットが消失したかどうか知る手段がスキャナにはなく、返答がないポートを何度も確認する必要があります。<br />
<br />
Linux カーネルは ICMP ポートの到達不可メッセージを非常にゆっくりと送信するため、Linux マシンに対して完全な UDP スキャンをかけようとすると10時間以上かかります。それでも、一般的なポートは識別できるため、SYN スキャンに対してと同じ対抗策を UDP スキャンに対しても設定すると良いでしょう。<br />
<br />
まず UDP-PORTSCAN リストのホストからのパケットを拒否するルールを UDP チェインの一番上に追加してください:<br />
<br />
# iptables -I UDP -p udp -m recent --update --seconds 60 --name UDP-PORTSCAN -j REJECT --reject-with icmp-port-unreachable<br />
<br />
そして、UDP の拒否パケットルールを以下のように修正します:<br />
<br />
# iptables -D INPUT -p udp -j REJECT --reject-with icmp-port-unreachable<br />
# iptables -A INPUT -p udp -m recent --set --name UDP-PORTSCAN -j REJECT --reject-with icmp-port-unreachable<br />
<br />
===== 最終的なルールのリストア =====<br />
<br />
If either or both of the portscanning tricks above were used the final default rule is no longer the last rule in the INPUT chain. It needs to be the last rule otherwise it will intercept the trick port scanner rules you just added and they will never be used. Simply delete the rule (-D), then add it once again using append (-A) which will place it at the end of the chain.<br />
<br />
# iptables -D INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
# iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
<br />
=== 他の攻撃からの防護 ===<br />
<br />
関連するカーネルパラメータは [[sysctl#TCP/IP スタックの防御]] に載っています。<br />
<br />
==== ブルートフォース攻撃 ====<br />
<br />
残念ながら、外部 IP アドレスからアクセスできるサービスにはよくブルートフォース攻撃が行われます。ブルートフォース攻撃が普遍的な理由としては、攻撃を行うのがとても簡単で、攻撃用のツールが数多く存在するということが挙げられます。幸いに、ブルートフォース攻撃からサービスを守るための方法はいろいろあります。その一つとして、適切な {{ic|iptables}} ルールを使って接続を開始しようとするパケットが一定数あったときに IP をブラックリストに入れる方法があります。また、ログファイルを監視して、試行失敗からブラックリストを作成する専用のデーモンを使うこともできます。<br />
{{Warning|IP ブラックリストを使うことで攻撃を多少止めることはできますが、別段にデーモンを使う必要があり、ログがちゃんと記録されてないと上手くいきません (攻撃者が執拗にサーバーを攻撃した場合、{{ic|/var}} を含むパーティションが満杯になる可能性があります)。さらに、攻撃者にあなたの IP アドレスが知られてしまったら、攻撃者はソースヘッダを偽装してパケットを送りつけることができるため、サーバーから締め出される恐れもあります。ブルートフォース攻撃については [[SSH 鍵]]がスマートな解決法になるでしょう。}}<br />
パスワード認証 (特に {{ic|sshd}}) が何回も失敗した時にその IP を接続不可にするパッケージとして [[Fail2ban]] と [[Sshguard]] が存在します。どちらも iptables のルールを更新することで、ブラックリストに入っている IP アドレスからの接続を拒否します。<br />
<br />
以下は {{ic|iptables}} を使って SSH のブルートフォース攻撃を止めるための設定例です:<br />
<br />
# iptables -N IN_SSH<br />
# iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH<br />
# iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 3 --seconds 10 -j DROP<br />
# iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 4 --seconds 1800 -j DROP <br />
# iptables -A IN_SSH -m recent --name sshbf --set -j ACCEPT<br />
<br />
Most of the options should be self-explanatory, they allow for three connection packets in ten seconds. Further tries in that time will blacklist the IP. The next rule adds a quirk by allowing a total of four attempts in 30 minutes. This is done because some bruteforce attacks are actually performed slow and not in a burst of attempts. The rules employ a number of additional options. To read more about them, check the original reference for this example: [http://compilefailure.blogspot.com/2011/04/better-ssh-brute-force-prevention-with.html compilefailure.blogspot.com]<br />
<br />
Using the above rules, now ensure that:<br />
# iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH<br />
is in an appropriate position in the iptables.rules file. <br />
<br />
This arrangement works for the IN_SSH rule if you followed this entire wiki so far:<br />
*<br />
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT<br />
-A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j IN_SSH<br />
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP<br />
*<br />
<br />
The above rules can, of course, be used to protect any service, though protecting the SSH daemon is probably the most often required one.<br />
<br />
{{Tip|For self-testing the rules after setup, the actual blacklist happening can slow the test making it difficult to fine-tune parameters. One can watch the incoming attempts via {{ic|cat /proc/net/xt_recent/sshbf}}. To unblock the own IP during testing, root is needed {{ic|# echo / > /proc/net/xt_recent/sshbf}}}}<br />
<br />
=== ルールの保存 ===<br />
<br />
ルールセットの設定が完了したら、ハードドライブに保存して、マシンを起動する度にロードされるようにします。<br />
<br />
ルールの設定を保存する場所は systemd のユニットファイルで指定します:<br />
<br />
iptables=/etc/iptables/iptables.rules<br />
ip6tables=/etc/iptables/ip6tables.rules<br />
<br />
次のコマンドでルールを保存します:<br />
<br />
# iptables-save > /etc/iptables/iptables.rules<br />
<br />
そして '''iptables''' [[デーモン]]を有効化して、起動時にルールがロードされるようにしてください。<br />
<br />
ルールが正しくロードされているか確認するには次のコマンドを使用:<br />
<br />
# systemctl start iptables.service && systemctl status iptables.service<br />
<br />
=== IPv6 ===<br />
<br />
IPv6 を使用しない場合 (ほとんどの ISP は IPv6 をサポートしていません)、[[IPv6#IPv6 の無効化|無効化]]したほうが良いでしょう。<br />
<br />
使用する場合、IPv6 のファイアウォールルールを有効にしてください。まず IPv4 のルールをベースとしてコピー:<br />
# cp /etc/iptables/iptables.rules /etc/iptables/ip6tables.rules<br />
最初に、ルールの中で記述している IP を IPv4 のフォーマットから IPv6 のフォーマットに変換します。<br />
<br />
Next, a few of the rules (built as example in this article for IPv4) have to be adapted. IPv6 obtained a new ICMPv6 protocol, replacing ICMP. Hence, the reject error return codes {{ic|--reject-with icmp-port-unreachable}} and {{ic|--reject-with icmp-proto-unreachable}} have to be converted to ICMPv6 codes. <br />
<br />
The available ICMPv6 error codes are listed in [https://tools.ietf.org/html/rfc4443#section-3.1 RFC 4443], which specifies connection attempts blocked by a firewall rule should use {{ic|--reject-with icmp6-adm-prohibited}}. Doing so will basically inform the remote system that the connection was rejected by a firewall, rather than a listening service. <br />
<br />
If it is preferred not to explicitly inform about the existence of a firewall filter, the packet may also be rejected without the message: <br />
<br />
-A INPUT -j REJECT<br />
<br />
The above will reject with the default return error of {{ic|--reject-with-icmp6-port-unreachable}}. You should note though, that identifying a firewall is a basic feature of port scanning applications and most will identify it regardless. <br />
<br />
In the next step make sure the protocol and extension are changed to be IPv6 appropriate for the rule regarding all new incoming ICMP echo requests (pings):<br />
<br />
# ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 128 -m conntrack --ctstate NEW -j ACCEPT<br />
<br />
Netfilter conntrack does not appear to track ICMPv6 Neighbor Discovery Protocol (the IPv6 equivalent of ARP), so we need to allow ICMPv6 traffic regardless of state for all directly attached subnets. The following should be inserted after dropping {{ic|--ctstate INVALID}}, but before any other DROP or REJECT targets, along with a corresponding line for each directly attached subnet:<br />
<br />
# ip6tables -A INPUT -s fe80::/10 -p ipv6-icmp -j ACCEPT<br />
<br />
Since there is no kernel reverse path filter for IPv6, you may want to enable one in ''ip6tables'' with the following:<br />
<br />
# ip6tables -t raw -A PREROUTING -m rpfilter -j ACCEPT<br />
# ip6tables -t raw -A PREROUTING -j DROP<br />
<br />
設定が完了したら、''ip6tables'' サービスを[[有効化]]してください。''iptables'' とは別個に実行させます。<br />
<br />
== NAT ゲートウェイの設定 ==<br />
<br />
このセクションでは NAT ゲートウェイについて扱います。[[#シングルマシン用のファイアウォール|ガイドの前半部分]]を読んで '''INPUT''', '''OUTPUT''', '''TCP''', '''UDP''' チェインを設定していることが前提です。これまで全てのルールは '''filter''' テーブルに作成していました。このセクションでは、'''nat''' テーブルも使用していきます。<br />
<br />
=== フィルターテーブルの設定 ===<br />
<br />
==== 必要なチェインの作成 ====<br />
<br />
以下の設定では、2つの異なるチェインをフィルターテーブルで使用します: '''fw-interfaces''' と '''fw-open''' チェインです。以下のコマンドでチェインを作成してください:<br />
<br />
# iptables -N fw-interfaces<br />
# iptables -N fw-open<br />
<br />
==== FORWARD チェインの設定 ====<br />
<br />
'''FORWARD''' チェインの設定は上のセクションにある '''INPUT''' チェインの設定と大体同じです。<br />
<br />
Now we set up a rule with the '''conntrack''' match, identical to the one in the '''INPUT''' chain:<br />
<br />
# iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
The next step is to enable forwarding for trusted interfaces and to make all packets pass the '''fw-open''' chain.<br />
<br />
# iptables -A FORWARD -j fw-interfaces <br />
# iptables -A FORWARD -j fw-open <br />
<br />
The remaining packets are denied with an '''ICMP''' message:<br />
<br />
# iptables -A FORWARD -j REJECT --reject-with icmp-host-unreachable<br />
# iptables -P FORWARD DROP<br />
<br />
==== fw-interfaces と fw-open チェインの設定 ====<br />
<br />
The meaning of the '''fw-interfaces''' and '''fw-open''' chains is explained later, when we deal with the '''POSTROUTING''' and '''PREROUTING''' chains in the '''nat''' table, respectively.<br />
<br />
=== nat テーブルの設定 ===<br />
<br />
このセクションでは、出力インターフェイス (公のインターネット IP が付与されるインターフェイス) の名前を '''ppp0''' とします。使用する出力インターフェイスが別の名前の場合、以下のルールで使われている名前もそれにあわせて変更するようにしてください。<br />
<br />
==== POSTROUTING チェインの設定 ====<br />
<br />
Now, we have to define who is allowed to connect to the internet. Let's assume we have the subnet '''192.168.0.0/24''' (which means all addresses that are of the form 192.168.0.*) on '''eth0'''. We first need to accept the machines on this interface in the FORWARD table, that is why we created the '''fw-interfaces''' chain above:<br />
<br />
# iptables -A fw-interfaces -i eth0 -j ACCEPT<br />
<br />
Now, we have to alter all outgoing packets so that they have our public IP address as the source address, instead of the local LAN address. To do this, we use the '''MASQUERADE''' target:<br />
<br />
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE<br />
<br />
上記の '''-o ppp0''' パラメータは必ず必要なので忘れないでください。パラメータを記述しなかった場合、ネットワークが接続できなくなります。<br />
<br />
Let's assume we have another subnet, '''10.3.0.0/16''' (which means all addresses 10.3.*.*), on the interface '''eth1'''. We add the same rules as above again:<br />
<br />
# iptables -A fw-interfaces -i eth1 -j ACCEPT<br />
# iptables -t nat -A POSTROUTING -s 10.3.0.0/16 -o ppp0 -j MASQUERADE<br />
<br />
最後に[[インターネット共有#パケット転送の有効化|パケット転送を有効化]]してください (既に有効にしている場合は必要ありません)。<br />
<br />
Machines from these subnets can now use your new NAT machine as their gateway. Note that you may want to set up a DNS and DHCP server like '''dnsmasq''' or a combination of '''bind''' and '''dhcpd''' to simplify network settings DNS resolution on the client machines. This is not the topic of this guide.<br />
<br />
==== PREROUTING チェインの設定 ====<br />
<br />
Sometimes, we want to change the address of an incoming packet from the gateway to a LAN machine. To do this, we use the '''fw-open''' chain defined above, as well as the '''PREROUTING''' chain in the '''nat''' table in the following two simple examples. <br />
<br />
First, we want to change all incoming SSH packets (port 22) to the ssh server of the machine '''192.168.0.5''':<br />
<br />
# iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to 192.168.0.5<br />
# iptables -A fw-open -d 192.168.0.5 -p tcp --dport 22 -j ACCEPT<br />
<br />
The second example will show you how to change packets to a different port than the incoming port. We want to change any incoming connection on port '''8000''' to our web server on '''192.168.0.6''', port '''80''':<br />
<br />
# iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8000 -j DNAT --to 192.168.0.6:80<br />
# iptables -A fw-open -d 192.168.0.6 -p tcp --dport 80 -j ACCEPT<br />
<br />
The same setup also works with udp packets.<br />
<br />
=== ルールの保存 ===<br />
<br />
ルールを保存してください:<br />
<br />
# iptables-save > /etc/iptables/iptables.rules<br />
<br />
そして '''iptables''' [[デーモン]]を有効にすることで、起動時にルールがロードされるようにします。<br />
<br />
== 参照 ==<br />
<br />
*[http://www.webhostingtalk.com/showthread.php?t=456571 Methods to block SSH attacks]<br />
*[http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/ Using iptables to block brute force attacks]<br />
*[http://linuxconfig.org/collection-of-basic-linux-firewall-iptables-rules 20 Iptables Examples For New SysAdmins]<br />
*[http://www.thegeekstuff.com/2011/06/iptables-rules-examples/ 25 Most Frequently Used Linux IPTables Rules Examples]</div>Tezcahttps://wiki.archlinux.jp/index.php?title=%E3%82%B7%E3%83%B3%E3%83%97%E3%83%AB%E3%81%AA%E3%82%B9%E3%83%86%E3%83%BC%E3%83%88%E3%83%95%E3%83%AB%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB&diff=8833シンプルなステートフルファイアウォール2017-05-11T09:17:24Z<p>Tezca: /* INPUT チェイン */</p>
<hr />
<div>[[Category:ファイアウォール]]<br />
[[en:Simple stateful firewall]]<br />
[[es:Simple stateful firewall]]<br />
[[ru:Simple stateful firewall]]<br />
[[zh-hans:Simple stateful firewall]]<br />
{{Related articles start}}<br />
{{Related|インターネット共有}}<br />
{{Related|ルーター}}<br />
{{Related|ファイアウォール}}<br />
{{Related|Uncomplicated Firewall}}<br />
{{Related articles end}}<br />
このページでは [[iptables]] を使ってステートフルファイアウォールを設定する方法を説明します。また、ルールの意味と理由の説明も行います。シンプルに説明するため、大きく2つのセクションにページは分かれています。最初のセクションではシングルマシンのためのファイアウォールを扱い、2番目のセクションでは最初のセクションのファイアウォールに加えて NAT ゲートウェイを設定します。<br />
<br />
{{Warning|記述されているルールは順番通りに実行してください。リモートマシンにログインしている場合、ルールを設定している間にマシンから閉めだされてしまう可能性があります。以下の手順に従うのはローカルでログインしている場合に限ります。[[#iptables.rules のサンプルファイル|サンプル設定ファイル]]を使うことでこの問題を回避することが可能です。}}<br />
<br />
== 前提要件 ==<br />
<br />
{{Note|iptables のサポートを有効にしてカーネルがコンパイルされている必要があります。Arch Linux の標準カーネルには iptables のサポートが含まれています。}}<br />
<br />
まず、ユーザーランドユーティリティ {{Pkg|iptables}} をインストールしてください。もしくは既にインストール済みかどうか確認してください。<br />
<br />
この記事では iptables のルールセットが全く存在しないことを前提としています。現在のルールセットをチェックして、ルールが存在しないことを確認するには、次を実行:<br />
<br />
{{hc|# iptables-save|<nowiki><br />
# Generated by iptables-save v1.4.19.1 on Thu Aug 1 19:28:53 2013<br />
*filter<br />
:INPUT ACCEPT [50:3763]<br />
:FORWARD ACCEPT [0:0]<br />
:OUTPUT ACCEPT [30:3472]<br />
COMMIT<br />
# Completed on Thu Aug 1 19:28:53 2013<br />
</nowiki>}}<br />
<br />
もしくは<br />
<br />
{{hc|# iptables -nvL --line-numbers|<nowiki><br />
Chain INPUT (policy ACCEPT 156 packets, 12541 bytes)<br />
num pkts bytes target prot opt in out source destination<br />
<br />
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br />
num pkts bytes target prot opt in out source destination<br />
<br />
Chain OUTPUT (policy ACCEPT 82 packets, 8672 bytes)<br />
num pkts bytes target prot opt in out source destination<br />
</nowiki>}}<br />
<br />
ルールが存在する場合、デフォルトのルールセットをロードすることでルールをリセットすることが可能です:<br />
<br />
# iptables-restore < /etc/iptables/empty.rules<br />
<br />
もしくは、[[Iptables#ルールをリセットする]] を参照。<br />
<br />
== シングルマシン用のファイアウォール ==<br />
<br />
{{Note|iptables はチェインの上から下の順番でルールを処理していくため、よくヒットするルールをチェインの初めに置くことを推奨します。もちろん、実行されるロジックによって制約は出て来ます。また、ルールにはランタイムコストもあるため、バイト/パケット数のカウンタだけを見てルールの順番を並び替えるのは賢いとは言えません。}}<br />
<br />
=== 必要なチェインの作成 ===<br />
<br />
基本的なセットアップとして、2つのユーザー定義チェインを作成し、それを使ってファイアウォールのポートを開きます。<br />
<br />
# iptables -N TCP<br />
# iptables -N UDP<br />
<br />
もちろんチェインの名前は何でもかまいません。ここでは後のルールで使用するプロトコルに沿うように名前を決めています。<br />
<br />
=== FORWARD チェイン ===<br />
<br />
マシンを NAT ゲートウェイとしてセットアップしたい場合、[[#NAT ゲートウェイの設定]]を見て下さい。シングルマシンの場合、'''FORWARD''' チェインのポリシーをとりあえず '''DROP''' に設定して先に進みます:<br />
<br />
# iptables -P FORWARD DROP<br />
<br />
=== OUTPUT チェイン ===<br />
<br />
送信トラフィックはフィルタリングしません。セットアップがとても複雑になってしまい、いろいろと考える必要が出てくるからです。ここではシンプルに、'''OUTPUT''' ポリシーを '''ACCEPT''' に設定します。<br />
<br />
# iptables -P OUTPUT ACCEPT<br />
<br />
=== INPUT チェイン ===<br />
<br />
上記のチェインと同じように、勝手にルールを通過してしまわないように '''INPUT''' チェインのデフォルトポリシーは '''DROP''' に設定します。セキュアなファイアウォールを設定するときは、全てのトラフィックをドロップしてから、許可するトラフィックを指定するのがベストです。<br />
<br />
{{Warning|SSH でログインしている場合、以下の設定をすると SSH セッションが即座に切断されます。切断されないようにするには: (1) 下の INPUT チェインのルールを先に追加 (それでセッションが開いたままになります), (2) インバウンド SSH を許可するルールを追加 (接続が終了した場合に再接続できるようにするため) (3) ポリシーを設定。}}<br />
<br />
# iptables -P INPUT DROP<br />
<br />
あらゆるネットワークインターフェイスから受信されたパケットは全て '''INPUT''' チェインをまず通過します (パケットの送信先が対象のマシンになっている場合)。このチェインの中では、問題ないと思われるパケットだけを許可するようにします。<br />
<br />
INPUT チェインにはまず、確立済みの接続に属するトラフィックや、ICMP エラーまたはエコー応答 (ping されたときにホストが返すパケット) などの接続に関連する正当なトラフィックを許可するルールを追加します。'''ICMP''' は '''Internet Control Message Protocol''' の略です。ICMP メッセージは輻輳制御や MTU にとても重要なので、このルールによって通してやります。<br />
<br />
接続ステート {{ic|ESTABLISHED}} は最初の ({{ic|--ctstate NEW}}) 接続試行で許可された以前の他のルール、またはルールの設定時にアクティブになっていた接続 (例えばアクティブな SSH リモート接続) を示します:<br />
<br />
# iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
次のルールでは "loopback" (lo) インターフェイスからのトラフィックを全て許可します。多くのアプリケーションやサービスで必須となります。<br />
<br />
{{Note|ファイアウォールでトラフィックを規制したくない場合 "eth1" など信頼できるインターフェイスを追加することもできます。ただし、ネットワーク上のあらゆる場所 (例えばルーターなど) からのあらゆるトラフィックを転送する NAT 構成にしている場合、他の設定は無関係になるため注意してください。}}<br />
<br />
# iptables -A INPUT -i lo -j ACCEPT<br />
<br />
3番目のルールでは "INVALID" ステートに一致する全てのトラフィックを破棄します。トラフィックは4つの "state" カテゴリに分けることができます: NEW, ESTABLISHED, RELATED, INVALID。これによって "stateless" ファイアウォールではなく "stateful" ファイアウォールと呼称しています。ステートは "nf_conntrack_*" カーネルモジュールによって追跡されます。カーネルモジュールはルールを追加したときにカーネルによって自動的にロードされます。<br />
<br />
{{Note|<br />
* 以下のルールはヘッダーやチェック、TCP フラグがおかしいパケットや不適切な ICMP メッセージ (ホストに何も送信していないのにポート到達不可など)、シーケンス番号予測攻撃などによるシーケンス外のパケットを全て破棄します。"DROP" ターゲットは何も返答せずにパケットを破棄します。それに対して REJECT は礼儀正しくパケットを拒否します。INVALID なパケットに対する適切な "REJECT" レスポンスはありえないため、パケットを受信したことを誰にも分からないように DROP を使っています。<br />
* ICMPv6 近隣探索パケットは未追跡のまま、たとえ壊れていなくても常に "INVALID" に分類されます。次のコマンドで承認することができます: {{ic|iptables -A INPUT -p 41 -j ACCEPT}}。<br />
}}<br />
<br />
# iptables -A INPUT -m conntrack --ctstate INVALID -j DROP<br />
<br />
次のルールでは '''ICMP エコー要求''' (ping) を全て許可します。最初のパケットだけを NEW としてカウントし、後は全て RELATED,ESTABLISHED ルールで処理します。コンピュータはルーターではないので、他の ICMP トラフィックをステート NEW で許可する必要はありません。<br />
<br />
# iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT<br />
<br />
新しく来た接続を処理するために、INPUT チェインに TCP チェインと UDP チェインを適用します。いったん TCP チェインや UDP チェインで接続が許可されると、以降は<br />
RRELATED/ESTABLISHED のルールで処理されます。TCP チェインと UDP チェインはどちらも新しく来た接続を許可するか、または丁寧にそれらを REJECT します。新しい TCP 接続は必ず SYN<br />
パケットから始まります。<br />
<br />
{{Note| NEW but not SYN is the only invalid TCP flag not covered by the INVALID state. The reason is because they are rarely malicious packets, and they should not just be dropped. Instead, we simply do not accept them, so they are rejected with a TCP RESET by the next rule.}}<br />
<br />
# iptables -A INPUT -p udp -m conntrack --ctstate NEW -j UDP<br />
# iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP<br />
<br />
We reject TCP connections with TCP RESET packets and UDP streams with ICMP port unreachable messages if the ports are not opened. This imitates default Linux behavior (RFC compliant), and it allows the sender to quickly close the connection and clean up.<br />
<br />
# iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable<br />
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset<br />
<br />
For other protocols, we add a final rule to the INPUT chain to reject all remaining incoming traffic with icmp protocol unreachable messages. This imitates Linux's default behavior.<br />
<br />
# iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
<br />
=== iptables.rules のサンプルファイル ===<br />
<br />
上記のコマンドを全て実行した時に作成される {{ic|iptables.rules}} ファイルの例:<br />
<br />
{{hc|/etc/iptables/iptables.rules|<br />
# Generated by iptables-save v1.4.18 on Sun Mar 17 14:21:12 2013<br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [0:0]<br />
:TCP - [0:0]<br />
:UDP - [0:0]<br />
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
-A INPUT -i lo -j ACCEPT<br />
-A INPUT -m conntrack --ctstate INVALID -j DROP<br />
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT<br />
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP<br />
-A INPUT -p tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP<br />
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -p tcp -j REJECT --reject-with tcp-reset<br />
-A INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
COMMIT<br />
# Completed on Sun Mar 17 14:21:12 2013<br />
}}<br />
<br />
このファイルは次のコマンドで生成できます:<br />
<br />
# iptables-save > /etc/iptables/iptables.rules<br />
<br />
生成したファイルは下のセクションで使うことができます。SSH 経由でリモートからファイアウォールを設定する場合、先に進む前に新しい SSH 接続を許可するため以下のルールを追加してください (ポート番号は必要に応じて変更してください):<br />
<br />
-A TCP -p tcp --dport 22 -j ACCEPT<br />
<br />
=== TCP と UDP チェイン ===<br />
<br />
TCP と UDP チェインには特定のポートで新規接続の TCP 接続と UDP ストリームを許可するルールを作成します。<br />
<br />
{{Note|リモートからアクセスする SSH や HTTP などのサービスの接続を許可するためのルールを追加する必要があります。}}<br />
<br />
==== 接続要求でポートを開く ====<br />
<br />
ウェブサーバーへの TCP 接続を許可するには (ポート 80):<br />
<br />
# iptables -A TCP -p tcp --dport 80 -j ACCEPT<br />
<br />
ウェブサーバーへの TCP 接続 (HTTPS) を許可するには (ポート 443):<br />
<br />
# iptables -A TCP -p tcp --dport 443 -j ACCEPT<br />
<br />
SSH のリモート接続を許可するには (ポート 22):<br />
<br />
# iptables -A TCP -p tcp --dport 22 -j ACCEPT<br />
<br />
DNS サーバーへの UDP ストリームを許可するには (ポート 53):<br />
<br />
# iptables -A UDP -p udp --dport 53 -j ACCEPT<br />
<br />
複数のポートにマッチするような、高度なルールについては {{Ic|man iptables}} を見て下さい。<br />
<br />
==== ポートノッキング ====<br />
デフォルトではファイアウォールによって閉じられているポートを、外部から開く方法がポートノッキングです。予め決めておいたポートに連続して接続試行することで行います。正しいポート"ノック" (接続試行) がなされた場合、ファイアウォールは特定のポートを開いて接続できるようにします。詳しくは[[ポートノッキング]]を見て下さい。<br />
<br />
=== なりすまし攻撃からの防護 ===<br />
<br />
{{Note|現在 {{ic|rp_filter}} はデフォルトで {{ic|/usr/lib/sysctl.d/50-default.conf}} で {{ic|1}} に設定されているため、以下の手順は必要ありません。}}<br />
<br />
インターネットやローカルネットワークからの予約ローカルアドレスの使用は sysctl で {{Ic|rp_filter}} (Reverse Path Filter) を 1 に設定することでブロックされます。以下の行を {{Ic|/etc/sysctl.d/90-firewall.conf}} ファイルに追加することで Linux カーネルに組み込まれている送信元アドレス検証が有効になります (詳しくは [[sysctl]] を参照)。カーネルによる検証は個別の iptables ルールよりもなりすましを上手く処理します:<br />
<br />
net.ipv4.conf.all.rp_filter=1<br />
<br />
統計が必要な場合、netfilter で設定することもできます:<br />
<br />
# iptables -t raw -I PREROUTING -m rpfilter --invert -j DROP<br />
<br />
{{Note|両方を有効にする意味はありません。netfilter の方法のほうが新しく IPv6 でも機能します。}}<br />
<br />
非同期ルーティングを使用する構成の場合、代わりに {{ic|1=rp_filter=2}} sysctl オプションを使用する必要があります。{{ic|--loose}} スイッチを {{ic|rpfilter}} モジュールに渡すことで netfilter と同じ設定ができます。<br />
<br />
=== コンピュータを"隠匿"する ===<br />
<br />
デスクトップマシンとして使っている場合、特定の接続要求はブロックするのが好ましいでしょう。<br />
<br />
==== ping リクエストのブロック ====<br />
<br />
'Ping' リクエストはデバイス間の通信状態を確認するために送信先アドレスに送られる ICMP パケットです。ネットワークが問題ないようでしたら、ping リクエストは全てブロックしてもかまいません。リクエストをブロックするだけではコンピュータを隠匿することにはならないので注意してください。たとえコンピュータに送られた全てのパケットを拒否したとしても、シンプルな nmap による IP 範囲の "ping スキャン" で露顕してしまいます。<br />
<br />
ブロックは初歩的な"防護"であり、将来問題が起こった時にデバッグするのが困難になります。あくまで勉強用にやってみるくらいにしてください。<br />
<br />
エコー要求をブロックするには、次の行を {{Ic|/etc/sysctl.d/90-firewall.conf}} ファイルに追加してください (詳しくは [[sysctl]] を参照):<br />
<br />
net.ipv4.icmp_echo_ignore_all = 1<br />
<br />
詳しくは iptables の man ページや http://www.snowman.net/projects/ipt_recent/ のドキュメントやサンプルを読んでください。<br />
<br />
==== ポートスキャナを騙す ====<br />
<br />
{{Note|以下の設定は [[Wikipedia:ja:DoS攻撃|DoS]] 攻撃に悪用される可能性があります。偽装した IP でパケットを送信してサービスへの接続をブロックさせてしまうという攻撃が考えられます。}}<br />
<br />
攻撃者はポートスキャンを使ってコンピュータの開いているポートを確認します。ポートスキャンによって攻撃者は稼働しているサービスを調査することができ、場合によってはサービスの脆弱性を利用してくる可能性があります。<br />
<br />
INVALID ステートルールは UDP, ACK, SYN スキャン以外の全てのポートスキャンを処理します (nmap ではそれぞれ -sU, -sA, -sS)。<br />
<br />
''ACK スキャン''は開いているポートを確認するのには使われませんが、ファイアウォールによってフィルタリングされているポートを識別するのには使われます。NEW ステートの TCP 接続は全て SYN チェックするため、ACK スキャンによって送信されたパケットは全て TCP RESET パケットで拒否されます。一部のファイアウォールはパケットを破棄するため、攻撃者はファイアウォールのルールを暴き出すことができます。<br />
<br />
recent モジュールを使うことで他の2種類のポートスキャンを騙すことができます。recent モジュールでホストを "recent" リストに追加して、特定の種類の攻撃を停止させます。現在の recent リストは {{Ic|/proc/net/xt_recent/}} で確認できます。<br />
<br />
===== SYN スキャン =====<br />
<br />
SYN スキャンでは、ポートスキャナは全てのポートに SYN パケットを送信します。閉じられているポートは TCP RESET パケットを返しますが、厳格なファイアウォールはパケットを破棄します。開いているポートは、ファイアウォールがあるかどうかに関わらず、SYN ACK パケットを返します。<br />
<br />
recent モジュールを使うことで接続を拒否されたホストの記録をつけることができ、開いているポートに SYN パケットが送信されたときにポートが閉じているかのように TCP RESET を返すことが可能です。開かれているポートが最初にスキャンされた場合、SYN ACK が返されてしまうため、確実にポートを隠匿するには標準以外のポートを ssh などのアプリケーションで使用する必要があります。<br />
<br />
まず、TCP チェインの一番上にルールを追加します。以下のルールは過去60秒以内に TCP-PORTSCAN リストに入ったホストに対して TCP RESET で応答します。{{Ic|--update}} スイッチで recent リストが更新され、60秒のカウンターがリセットされます。<br />
<br />
# iptables -I TCP -p tcp -m recent --update --seconds 60 --name TCP-PORTSCAN -j REJECT --reject-with tcp-reset<br />
<br />
そして TCP パケットを拒否するルールを修正して拒否されたパケットを送信したホストを TCP-PORTSCAN リストに追加するようにしてください:<br />
<br />
# iptables -D INPUT -p tcp -j REJECT --reject-with tcp-reset<br />
# iptables -A INPUT -p tcp -m recent --set --name TCP-PORTSCAN -j REJECT --reject-with tcp-reset<br />
<br />
===== UDP スキャン =====<br />
<br />
UDP ポートスキャンは TCP の SYN スキャンと似ていますが UDP は "connectionless" プロトコルです。ハンドシェイクや ACK は存在しません。代わりに、スキャナは各 UDP ポートに UDP パケットを送信します。ポートが閉じていると ICMP のポート到達不可メッセージが返ってきますが、ポートが開いている場合、何も返答が返ってきません。UDP は "reliable" プロトコルではないので、パケットが消失したかどうか知る手段がスキャナにはなく、返答がないポートを何度も確認する必要があります。<br />
<br />
Linux カーネルは ICMP ポートの到達不可メッセージを非常にゆっくりと送信するため、Linux マシンに対して完全な UDP スキャンをかけようとすると10時間以上かかります。それでも、一般的なポートは識別できるため、SYN スキャンに対してと同じ対抗策を UDP スキャンに対しても設定すると良いでしょう。<br />
<br />
まず UDP-PORTSCAN リストのホストからのパケットを拒否するルールを UDP チェインの一番上に追加してください:<br />
<br />
# iptables -I UDP -p udp -m recent --update --seconds 60 --name UDP-PORTSCAN -j REJECT --reject-with icmp-port-unreachable<br />
<br />
そして、UDP の拒否パケットルールを以下のように修正します:<br />
<br />
# iptables -D INPUT -p udp -j REJECT --reject-with icmp-port-unreachable<br />
# iptables -A INPUT -p udp -m recent --set --name UDP-PORTSCAN -j REJECT --reject-with icmp-port-unreachable<br />
<br />
===== 最終的なルールのリストア =====<br />
<br />
If either or both of the portscanning tricks above were used the final default rule is no longer the last rule in the INPUT chain. It needs to be the last rule otherwise it will intercept the trick port scanner rules you just added and they will never be used. Simply delete the rule (-D), then add it once again using append (-A) which will place it at the end of the chain.<br />
<br />
# iptables -D INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
# iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable<br />
<br />
=== 他の攻撃からの防護 ===<br />
<br />
関連するカーネルパラメータは [[sysctl#TCP/IP スタックの防御]] に載っています。<br />
<br />
==== ブルートフォース攻撃 ====<br />
<br />
残念ながら、外部 IP アドレスからアクセスできるサービスにはよくブルートフォース攻撃が行われます。ブルートフォース攻撃が普遍的な理由としては、攻撃を行うのがとても簡単で、攻撃用のツールが数多く存在するということが挙げられます。幸いに、ブルートフォース攻撃からサービスを守るための方法はいろいろあります。その一つとして、適切な {{ic|iptables}} ルールを使って接続を開始しようとするパケットが一定数あったときに IP をブラックリストに入れる方法があります。また、ログファイルを監視して、試行失敗からブラックリストを作成する専用のデーモンを使うこともできます。<br />
{{Warning|IP ブラックリストを使うことで攻撃を多少止めることはできますが、別段にデーモンを使う必要があり、ログがちゃんと記録されてないと上手くいきません (攻撃者が執拗にサーバーを攻撃した場合、{{ic|/var}} を含むパーティションが満杯になる可能性があります)。さらに、攻撃者にあなたの IP アドレスが知られてしまったら、攻撃者はソースヘッダを偽装してパケットを送りつけることができるため、サーバーから締め出される恐れもあります。ブルートフォース攻撃については [[SSH 鍵]]がスマートな解決法になるでしょう。}}<br />
パスワード認証 (特に {{ic|sshd}}) が何回も失敗した時にその IP を接続不可にするパッケージとして [[Fail2ban]] と [[Sshguard]] が存在します。どちらも iptables のルールを更新することで、ブラックリストに入っている IP アドレスからの接続を拒否します。<br />
<br />
以下は {{ic|iptables}} を使って SSH のブルートフォース攻撃を止めるための設定例です:<br />
<br />
# iptables -N IN_SSH<br />
# iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH<br />
# iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 3 --seconds 10 -j DROP<br />
# iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 4 --seconds 1800 -j DROP <br />
# iptables -A IN_SSH -m recent --name sshbf --set -j ACCEPT<br />
<br />
Most of the options should be self-explanatory, they allow for three connection packets in ten seconds. Further tries in that time will blacklist the IP. The next rule adds a quirk by allowing a total of four attempts in 30 minutes. This is done because some bruteforce attacks are actually performed slow and not in a burst of attempts. The rules employ a number of additional options. To read more about them, check the original reference for this example: [http://compilefailure.blogspot.com/2011/04/better-ssh-brute-force-prevention-with.html compilefailure.blogspot.com]<br />
<br />
Using the above rules, now ensure that:<br />
# iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH<br />
is in an appropriate position in the iptables.rules file. <br />
<br />
This arrangement works for the IN_SSH rule if you followed this entire wiki so far:<br />
*<br />
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT<br />
-A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j IN_SSH<br />
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP<br />
*<br />
<br />
The above rules can, of course, be used to protect any service, though protecting the SSH daemon is probably the most often required one.<br />
<br />
{{Tip|For self-testing the rules after setup, the actual blacklist happening can slow the test making it difficult to fine-tune parameters. One can watch the incoming attempts via {{ic|cat /proc/net/xt_recent/sshbf}}. To unblock the own IP during testing, root is needed {{ic|# echo / > /proc/net/xt_recent/sshbf}}}}<br />
<br />
=== ルールの保存 ===<br />
<br />
ルールセットの設定が完了したら、ハードドライブに保存して、マシンを起動する度にロードされるようにします。<br />
<br />
ルールの設定を保存する場所は systemd のユニットファイルで指定します:<br />
<br />
iptables=/etc/iptables/iptables.rules<br />
ip6tables=/etc/iptables/ip6tables.rules<br />
<br />
次のコマンドでルールを保存します:<br />
<br />
# iptables-save > /etc/iptables/iptables.rules<br />
<br />
そして '''iptables''' [[デーモン]]を有効化して、起動時にルールがロードされるようにしてください。<br />
<br />
ルールが正しくロードされているか確認するには次のコマンドを使用:<br />
<br />
# systemctl start iptables.service && systemctl status iptables.service<br />
<br />
=== IPv6 ===<br />
<br />
IPv6 を使用しない場合 (ほとんどの ISP は IPv6 をサポートしていません)、[[IPv6#IPv6 の無効化|無効化]]したほうが良いでしょう。<br />
<br />
使用する場合、IPv6 のファイアウォールルールを有効にしてください。まず IPv4 のルールをベースとしてコピー:<br />
# cp /etc/iptables/iptables.rules /etc/iptables/ip6tables.rules<br />
最初に、ルールの中で記述している IP を IPv4 のフォーマットから IPv6 のフォーマットに変換します。<br />
<br />
Next, a few of the rules (built as example in this article for IPv4) have to be adapted. IPv6 obtained a new ICMPv6 protocol, replacing ICMP. Hence, the reject error return codes {{ic|--reject-with icmp-port-unreachable}} and {{ic|--reject-with icmp-proto-unreachable}} have to be converted to ICMPv6 codes. <br />
<br />
The available ICMPv6 error codes are listed in [https://tools.ietf.org/html/rfc4443#section-3.1 RFC 4443], which specifies connection attempts blocked by a firewall rule should use {{ic|--reject-with icmp6-adm-prohibited}}. Doing so will basically inform the remote system that the connection was rejected by a firewall, rather than a listening service. <br />
<br />
If it is preferred not to explicitly inform about the existence of a firewall filter, the packet may also be rejected without the message: <br />
<br />
-A INPUT -j REJECT<br />
<br />
The above will reject with the default return error of {{ic|--reject-with-icmp6-port-unreachable}}. You should note though, that identifying a firewall is a basic feature of port scanning applications and most will identify it regardless. <br />
<br />
In the next step make sure the protocol and extension are changed to be IPv6 appropriate for the rule regarding all new incoming ICMP echo requests (pings):<br />
<br />
# ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 128 -m conntrack --ctstate NEW -j ACCEPT<br />
<br />
Netfilter conntrack does not appear to track ICMPv6 Neighbor Discovery Protocol (the IPv6 equivalent of ARP), so we need to allow ICMPv6 traffic regardless of state for all directly attached subnets. The following should be inserted after dropping {{ic|--ctstate INVALID}}, but before any other DROP or REJECT targets, along with a corresponding line for each directly attached subnet:<br />
<br />
# ip6tables -A INPUT -s fe80::/10 -p ipv6-icmp -j ACCEPT<br />
<br />
Since there is no kernel reverse path filter for IPv6, you may want to enable one in ''ip6tables'' with the following:<br />
<br />
# ip6tables -t raw -A PREROUTING -m rpfilter -j ACCEPT<br />
# ip6tables -t raw -A PREROUTING -j DROP<br />
<br />
設定が完了したら、''ip6tables'' サービスを[[有効化]]してください。''iptables'' とは別個に実行させます。<br />
<br />
== NAT ゲートウェイの設定 ==<br />
<br />
このセクションでは NAT ゲートウェイについて扱います。[[#シングルマシン用のファイアウォール|ガイドの前半部分]]を読んで '''INPUT''', '''OUTPUT''', '''TCP''', '''UDP''' チェインを設定していることが前提です。これまで全てのルールは '''filter''' テーブルに作成していました。このセクションでは、'''nat''' テーブルも使用していきます。<br />
<br />
=== フィルターテーブルの設定 ===<br />
<br />
==== 必要なチェインの作成 ====<br />
<br />
以下の設定では、2つの異なるチェインをフィルターテーブルで使用します: '''fw-interfaces''' と '''fw-open''' チェインです。以下のコマンドでチェインを作成してください:<br />
<br />
# iptables -N fw-interfaces<br />
# iptables -N fw-open<br />
<br />
==== FORWARD チェインの設定 ====<br />
<br />
'''FORWARD''' チェインの設定は上のセクションにある '''INPUT''' チェインの設定と大体同じです。<br />
<br />
Now we set up a rule with the '''conntrack''' match, identical to the one in the '''INPUT''' chain:<br />
<br />
# iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
The next step is to enable forwarding for trusted interfaces and to make all packets pass the '''fw-open''' chain.<br />
<br />
# iptables -A FORWARD -j fw-interfaces <br />
# iptables -A FORWARD -j fw-open <br />
<br />
The remaining packets are denied with an '''ICMP''' message:<br />
<br />
# iptables -A FORWARD -j REJECT --reject-with icmp-host-unreachable<br />
# iptables -P FORWARD DROP<br />
<br />
==== fw-interfaces と fw-open チェインの設定 ====<br />
<br />
The meaning of the '''fw-interfaces''' and '''fw-open''' chains is explained later, when we deal with the '''POSTROUTING''' and '''PREROUTING''' chains in the '''nat''' table, respectively.<br />
<br />
=== nat テーブルの設定 ===<br />
<br />
このセクションでは、出力インターフェイス (公のインターネット IP が付与されるインターフェイス) の名前を '''ppp0''' とします。使用する出力インターフェイスが別の名前の場合、以下のルールで使われている名前もそれにあわせて変更するようにしてください。<br />
<br />
==== POSTROUTING チェインの設定 ====<br />
<br />
Now, we have to define who is allowed to connect to the internet. Let's assume we have the subnet '''192.168.0.0/24''' (which means all addresses that are of the form 192.168.0.*) on '''eth0'''. We first need to accept the machines on this interface in the FORWARD table, that is why we created the '''fw-interfaces''' chain above:<br />
<br />
# iptables -A fw-interfaces -i eth0 -j ACCEPT<br />
<br />
Now, we have to alter all outgoing packets so that they have our public IP address as the source address, instead of the local LAN address. To do this, we use the '''MASQUERADE''' target:<br />
<br />
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE<br />
<br />
上記の '''-o ppp0''' パラメータは必ず必要なので忘れないでください。パラメータを記述しなかった場合、ネットワークが接続できなくなります。<br />
<br />
Let's assume we have another subnet, '''10.3.0.0/16''' (which means all addresses 10.3.*.*), on the interface '''eth1'''. We add the same rules as above again:<br />
<br />
# iptables -A fw-interfaces -i eth1 -j ACCEPT<br />
# iptables -t nat -A POSTROUTING -s 10.3.0.0/16 -o ppp0 -j MASQUERADE<br />
<br />
最後に[[インターネット共有#パケット転送の有効化|パケット転送を有効化]]してください (既に有効にしている場合は必要ありません)。<br />
<br />
Machines from these subnets can now use your new NAT machine as their gateway. Note that you may want to set up a DNS and DHCP server like '''dnsmasq''' or a combination of '''bind''' and '''dhcpd''' to simplify network settings DNS resolution on the client machines. This is not the topic of this guide.<br />
<br />
==== PREROUTING チェインの設定 ====<br />
<br />
Sometimes, we want to change the address of an incoming packet from the gateway to a LAN machine. To do this, we use the '''fw-open''' chain defined above, as well as the '''PREROUTING''' chain in the '''nat''' table in the following two simple examples. <br />
<br />
First, we want to change all incoming SSH packets (port 22) to the ssh server of the machine '''192.168.0.5''':<br />
<br />
# iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to 192.168.0.5<br />
# iptables -A fw-open -d 192.168.0.5 -p tcp --dport 22 -j ACCEPT<br />
<br />
The second example will show you how to change packets to a different port than the incoming port. We want to change any incoming connection on port '''8000''' to our web server on '''192.168.0.6''', port '''80''':<br />
<br />
# iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8000 -j DNAT --to 192.168.0.6:80<br />
# iptables -A fw-open -d 192.168.0.6 -p tcp --dport 80 -j ACCEPT<br />
<br />
The same setup also works with udp packets.<br />
<br />
=== ルールの保存 ===<br />
<br />
ルールを保存してください:<br />
<br />
# iptables-save > /etc/iptables/iptables.rules<br />
<br />
そして '''iptables''' [[デーモン]]を有効にすることで、起動時にルールがロードされるようにします。<br />
<br />
== 参照 ==<br />
<br />
*[http://www.webhostingtalk.com/showthread.php?t=456571 Methods to block SSH attacks]<br />
*[http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/ Using iptables to block brute force attacks]<br />
*[http://linuxconfig.org/collection-of-basic-linux-firewall-iptables-rules 20 Iptables Examples For New SysAdmins]<br />
*[http://www.thegeekstuff.com/2011/06/iptables-rules-examples/ 25 Most Frequently Used Linux IPTables Rules Examples]</div>Tezca