2017年02月24日
Tweet
僕の悪い癖なんですが、その場しのぎで設定をしてしまうことが、本当によくあります。
それで大体苦労しています。とくに iptables はただ設定しただけではログも出ないので、iptables が原因なのか、それ以外なのかの判別が難しいのです。
そこで最近はなるべく iptables についてはチェーンを使って管理するようにしました。
ということでメモしておきます。
/etc/sysconfig/iptables
# SMTP Port25 を許可するIP(これは結構ゆるめに。)
:Allow_SMTP_IP - [0:0]
# 日本以外のIPで拒否する場合にはここに。
# 海外からのアクセスは少ないので、国ごとにがっつりと拒否の場合が多い
:non_JP_Deny - [0:0]
# 日本からのIPで拒否する場合はここ。そして問題が起きたときは、ここの可能性が多いので原因がわかるまではフィルタを外すことも検討
:JP_Deny - [0:0]
#先頭の方に書く。
# SMTPアクセスの場合には、まず許可されたIPのチェックを行う。許可された場合には次の処理に移る
-A INPUT -j Allow_SMTP_IP -p tcp -m state --state NEW -m tcp --dport 25
#すべてのIPを以下のチェーンに流して検査する
-A INPUT -j non_JP_Deny
-A INPUT -j JP_Deny
それ以外のフィルタ(例/抜粋)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
それぞれのフィルタに拒否/許可するIPを記載する
-A Allow_SMTP_IP -s X.X.X.X -j ACCEPT
-A JP_Deny -s X.X.X.X -j DROP
-A non_JP_Deny -s X.X.X.X -j DROP
それで大体苦労しています。とくに iptables はただ設定しただけではログも出ないので、iptables が原因なのか、それ以外なのかの判別が難しいのです。
そこで最近はなるべく iptables についてはチェーンを使って管理するようにしました。
ということでメモしておきます。
/etc/sysconfig/iptables
# SMTP Port25 を許可するIP(これは結構ゆるめに。)
:Allow_SMTP_IP - [0:0]
# 日本以外のIPで拒否する場合にはここに。
# 海外からのアクセスは少ないので、国ごとにがっつりと拒否の場合が多い
:non_JP_Deny - [0:0]
# 日本からのIPで拒否する場合はここ。そして問題が起きたときは、ここの可能性が多いので原因がわかるまではフィルタを外すことも検討
:JP_Deny - [0:0]
#先頭の方に書く。
# SMTPアクセスの場合には、まず許可されたIPのチェックを行う。許可された場合には次の処理に移る
-A INPUT -j Allow_SMTP_IP -p tcp -m state --state NEW -m tcp --dport 25
#すべてのIPを以下のチェーンに流して検査する
-A INPUT -j non_JP_Deny
-A INPUT -j JP_Deny
それ以外のフィルタ(例/抜粋)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
それぞれのフィルタに拒否/許可するIPを記載する
-A Allow_SMTP_IP -s X.X.X.X -j ACCEPT
-A JP_Deny -s X.X.X.X -j DROP
-A non_JP_Deny -s X.X.X.X -j DROP