パケットフィルタリング

Linuxサーバーでは、iptablesでパケットフィルタリングの設定をする。
この設定をしないと、本当にすぐに狙われてしまう

次のような設定で良いかと思ったが、DNSサーバーをLinux機にしていたホストからの名前解決がうまくいかなくなった。

# 既存のルールを破棄
/sbin/iptables -F # 既存のルールを破棄
# ポリシーの設定
/sbin/iptables -P INPUT   DROP   # 受信はすべて破棄
/sbin/iptables -P FORWARD DROP   # 通過はすべて破棄
/sbin/iptables -P OUTPUT  ACCEPT # 送信はすべて許可
# ルールの追加
/sbin/iptables -A INPUT -i lo -j ACCEPT  # ループバックアドレスからのアクセスはすべて許可
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT # LAN内からのアクセスはすべて許可
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTPへのアクセスはすべて許可

追加で次の設定が必要ということか。

/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

こうした点も含めて、ようこそVineLinuxで自宅サーバーへiptablesでファイヤーウォールの設定が参考になりそう。