<html>
<title>filter</title>
<body>
<pre>
SMTP
DROP
---------IP HEADER--------------------- |TCP/UDP------ |----
SA DA PROT SP DP I/O 動作 アプリ
自分 SMTP鯖 TCP UNKNOWN 25 OUT ACCEPT SMTP CLIENT
SMTPSERVER OWN TCP 25 UNKNOWN IN ACCEPT SMTP CLIENT
UNKNOWN ONW TCP UNKNOWN 25 OUT ACCEPT SMTP SERVER
OWN UNKNOWN TCP 25 UNKNOWN IN ACCEPT SMTP SERVER
OWN OTHERSMTP-SER TCP UNKNOWN 25 OUT ACCEPT SMTP SERVER
OTHERSMTP-SER OWN TCP 25 UNKNOWN IN ACCEPT SMTP SERVER
DNS
---------IP HEADER--------------------- |TCP/UDP------ |----
SA DA PROT SP DP I/O 動作 アプリ
MYSELF DNSsever DNS
POP
---------IP HEADER--------------------- |TCP/UDP------ |----
SA DA PROT SP DP I/O 動作 アプリ
POPSERVER ----- TCP unknown 110 OUT ACCEPT POPserver
---- POPSERVER TCP 110 unknown IN ACCEPT POPserver
MYSELF POPserver TCP unknown 110 OUT ACCEPT clientPOP
POPserver MYSELF TCP 110 unknown IN ACCEPT clientPOP
HTTP
---------IP HEADER--------------------- |TCP/UDP------ |----
SA DA PROT SP DP I/O 動作 アプリ
client manyhttpserver TCP unknow 80 OUT ACCEPT client
httpserver client TCP 80 unknown IN ACCEPT client
unknown httpserver TCP unknown 80 IN ACCEPT server
httpserver unknown TCP 80 unknown OUT ACCEPT server
ICMPは基本的にアクセプトaccept
こいつは重要だから落としちゃダメ
V4はよくともV6は絶対ダメ!
エコーリクエスト
エコーリプライ
lo 172.0.0.1 ::1 ループバックアドレスなのでこれも無条件で通してやる
iptables設定ファイル
/etc/sysconfig/iptables
/etc/sysconfig/iptables/iptables-config
ex.loopback
-A INPUT -i(入力インターフェースの指定) lo -j ACCEPT
-A OUTPUT -o(出力I/Fの指定) lo -j ACCEPT
:INPUT ACCEPT(これをDROPに変える) [0:0]
:OUTPUT ACCEPT(こいつもDROPに変える)[0:0]
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -d(終点アドレスの指定) DNSserverAddress -p(プロトコル指定) udp -dport(終点ポートの指定) 53
-A INPUT -s(始点アドレスを指定) DNSserverAddress -p udp -sport(始点ポートを指定) 53 -j ACCEPT
OUTPUT
チェーンの指定
</pre>
</body>
</html>
最終更新:2008年03月06日 14:36
