2017年02月24日
このエントリーをはてなブックマークに追加
僕の悪い癖なんですが、その場しのぎで設定をしてしまうことが、本当によくあります。
それで大体苦労しています。とくに iptables はただ設定しただけではログも出ないので、iptables が原因なのか、それ以外なのかの判別が難しいのです。

そこで最近はなるべく iptables についてはチェーンを使って管理するようにしました。

ということでメモしておきます。

/etc/sysconfig/iptables

# SMTP Port25 を許可するIP(これは結構ゆるめに。)
:Allow_SMTP_IP - [0:0]

# 日本以外のIPで拒否する場合にはここに。
# 海外からのアクセスは少ないので、国ごとにがっつりと拒否の場合が多い
:non_JP_Deny - [0:0]

# 日本からのIPで拒否する場合はここ。そして問題が起きたときは、ここの可能性が多いので原因がわかるまではフィルタを外すことも検討
:JP_Deny - [0:0]

#先頭の方に書く。
# SMTPアクセスの場合には、まず許可されたIPのチェックを行う。許可された場合には次の処理に移る
-A INPUT -j Allow_SMTP_IP -p tcp -m state --state NEW -m tcp --dport 25

#すべてのIPを以下のチェーンに流して検査する
-A INPUT -j non_JP_Deny
-A INPUT -j JP_Deny

それ以外のフィルタ(例/抜粋)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

それぞれのフィルタに拒否/許可するIPを記載する
-A Allow_SMTP_IP -s X.X.X.X -j ACCEPT
-A JP_Deny -s X.X.X.X -j DROP
-A non_JP_Deny -s X.X.X.X -j DROP


stock_value at 12:05│Comments(0)TrackBack(0)技術 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔