このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

レンタルサーバでのiptables設定 このメッセージに返信する
日時: 2012/04/02 17:35
名前: ma-to
URL:
いつも、参考にさせて頂いております。

iptablesの設定でふと気になったことが有りました。
こちらのサイトを参考にしながら、iptablesの設定を施しているのですが、
レンタルサーバ(専用サーバ・VPS)に割り当てられるIPは[XXX.XXX.XXX.XXX/255.255.255.0]
や[XXX.XXX.XXX.XXX/255.255.254.0]で割り当てられます。

割り当てられたIPは1つなので、同一サブネットで有っても不要なアクセスは避けるべきですが、
上記のようなIPを割り当てられた場合、同一のサブネットからはアクセス出来てしまいますよね?

回避する方法は有るのでしょうか?

現在は下記の様な設定にしています。

=====================================================================

#!/bin/bash

#---------------------------------------#
# 設定開始 #
#---------------------------------------#

# インタフェース名定義
LAN=eth0

#---------------------------------------#
# 設定終了 #
#---------------------------------------#

# 内部ネットワークのネットマスク取得
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`

# 内部ネットワークアドレス取得
LOCALNET_ADDR=`netstat -rn|grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
#LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK
LOCALNET=$LOCALNET_ADDR/255.255.255.255  ← ここ

以下、省略。


=====================================================================

現時点では正常に通信できているのですが、ちょっと不安になり質問させて頂きました。
上記以外でもっと効率良く設定する方法や、もっと正しく設定する方法が有ればご教授
いただきたいです。
設定を返納せずに、標準の設定でも問題ないよとのご意見でも結構です。

宜しくお願い致します。
記事編集 編集
Re: レンタルサーバでのiptables設定 このメッセージに返信する
日時: 2012/04/02 18:36
名前: stranger
URL: http://ja.528p.com/
レンタルサーバ(専用サーバ・VPS)に割り当てられるIPは
グローバルアドレスだと思うけど?

プロバイダからグローバルアドレスを割り当てられた場合も
プロバイダの同一サブネットに複数のグローバルアドレスが
含まれるわけですから

レンタルサーバ(専用サーバ・VPS)は
グローバルアドレスの割り当てられた単独サーバの
集合体だと考えたらどうでしょう

要はLOCALNETの設定をしない

iptablesはIPアドレスとportナンバーで制御できるので
必要なportのみ開けるように設定したらどうでしょう


記事編集 編集
Re: レンタルサーバでのiptables設定 このメッセージに返信する
日時: 2012/04/02 20:29
名前: ma-to
URL:
stranger 様

早速の回答有難うございます。

仰るとおり、割り当てられるIPはグローバルIPです。
頂いたご意見を元に、出来る限り設定の内容を崩さずに変更できないかを考えてみました。

基本的な設定は、参考サイトそのまま設定を行い、下記の項目のみコメントアウトして無効にしてみました。


# 内部からのアクセスをすべて許可
#iptables -A INPUT -s $LOCALNET -j ACCEPT

# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
# ※不要ログ記録防止
#iptables -A INPUT ! -s $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
#iptables -A INPUT ! -s $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
#iptables -A OUTPUT ! -d $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
#iptables -A OUTPUT ! -d $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP

今のところ問題なく動いているのですが、ログを見ながら様子を見てみます。

何か、ご指摘が有ればお願いいたします。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -