48.8.4. 一般的な IPTables フィルターリング
リモート攻撃者が LAN にアクセスできないことは、ネットワークセキュリティーの最も重要な側面の 1 つです。LAN の整合性は、厳格なファイアウォールルールを使用することで、悪意のあるリモートユーザーから保護する必要があります。
ただし、すべての着信、送信、および転送パケットをブロックするデフォルトのポリシーを設定すると、ファイアウォール/ゲートウェイおよび内部 LAN ユーザーが相互に、または外部リソースと通信することはできません。
ユーザーがネットワーク関連の機能を実行し、ネットワークアプリケーションを使用できるようにするために、管理者は通信用に特定のポートを開く必要があります。
たとえば、ファイアウォール でポート 80 へのアクセスを許可するに は、以下のルールを追加します。
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
これにより、標準のポート 80 を使用して通信する Web サイトを参照できます。セキュアな Web サイト(例:https://www.example.com/)へのアクセスを許可するには、以下のようにポート 443 へのアクセスも指定する必要があります。
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT重要な影響
iptables ルールセットを作成する場合、順序は重要です。
ルールで 192.168.100.0/24 サブネットからのパケットがドロップされ、その後に 192.168.100.13 (ドロップされたサブネット内)からのパケットを許可するルールが続きます。
192.168.100.13 からのパケットを許可するルールは、残りのサブネットを破棄するルールの前に指定する必要があります。
既存のチェーンの特定の場所にルールを挿入するには、
-I オプションを使用します。以下に例を示します。
iptables -I INPUT 1 -i lo -p all -j ACCEPT
このルールは、ローカルループバックデバイスのトラフィックを許可する INPUT チェーンの最初のルールとして挿入されます。
LAN へのリモートアクセスが必要になる場合があります。SSH などのセキュアなサービスは、LAN サービスへの暗号化されたリモート接続に使用できます。
PPP ベースのリソース(モデムバンクや一括 ISP アカウントなど)を使用する管理者は、ダイヤルアップアクセスを使用して安全なファイアウォールバリアを回避することができます。これらは直接接続であるため、モデム接続は通常ファイアウォール/ゲートウェイの背後にあります。
ただし、ブロードバンド接続を持つリモートユーザーの場合は、特別なケースを行うことができます。iptables を設定して、リモート SSH クライアントからの接続を受け入れることができます。たとえば、以下のルールはリモート SSH アクセスを許可します。
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
これらのルールにより、インターネットに直接接続された単一の PC やファイアウォール/ゲートウェイなど、個別システムの送受信アクセスが可能になります。ただし、ファイアウォール/ゲートウェイの背後にあるノードがこれらのサービスにアクセスできるようにすることはできません。これらのサービスへの LAN アクセスを許可するには、iptables でNAT( Network Address Translation )を使用します。
