第1回　ステートフルパケットフィルタを使ったサービスの公開

初心者にとって、iptablesは設定が最も困難な機能の1つである。そこで、学習の第1歩としてテンプレートを自分の環境に合わせて修正することから始めよう。（編集部）

鶴長 鎮一
2005/3/18

　インターネットに接続したLinuxサーバにパケットフィルタを適用するのはもはや常識です。社内のセキュリティ規定にも、「Linuxサーバではiptablesを適切に設定すること」などと明記されていることも珍しくありません。ネットワークに対する知識の有無にかかわらず、Linuxでサーバを立てる際にはiptablesの設定は避けて通れません。

　しかしiptablesなどのパケットフィルタツールを理解するには、ネットワークについての深い知識、しかもパケットレベルのミクロな知識が必要になります。本連載では、そのような理屈は二の次とし、「とにかくiptablesを使いたい」という方のためにパターン別設定例を提供します。とはいうものの、理屈を無視するわけにはいきません。本連載と併せて以下の記事を参照すると、知識をより深めることができるでしょう。

Linuxで作るファイアウォール［パケットフィルタリング設定編］

　もちろん、本連載でも必要に応じてできるだけ解説を加えていきます。

テンプレートの使い方

iptablesの設定には、いくつか方法があります。本連載ではLinuxディストリビューションごとの癖に左右されにくい、「シェルスクリプトを使用する方法」を採用しました。設定の適用は、以下のサイクルで行います。シェルスクリプトを使用するたびに、iptablesをリセットするのを忘れないようにしましょう。 　また、シェルスクリプトの実行は、コンソールを使用しましょう。ネットワークを介したリモート作業（例えばssh接続など）では、設定に失敗した場合に作業が一切行えなくなる危険性があるためです。

1/6

Index 習うより慣れろ！ iptablesテンプレート集 　第1回　ステートフルパケットフィルタを使ったサービスの公開

Page 1 テンプレートの使い方 　 Page2　テンプレート1 特定ホストからのsshのみを許可（ソースIPアドレスで制限） 　テンプレート1の想定環境 　フィルタの適用と確認 　改造のヒント：ネットワーク単位の指定方法 　 Page 3　テンプレート2 不特定ホストへのHTTPサーバ公開 　テンプレート2の想定環境 　改造のヒント：DNS問い合わせを可能に 　 Page 4　テンプレート3 ssh接続のステートフル性を確認（テンプレート1の改良） 　テンプレート3の想定環境 　 Page 5　テンプレート4 HTTP接続のステートフル性を確認（テンプレート2の改良） 　テンプレート4の想定環境 　 Page 6　テンプレート5 内部からの接続を許可（テンプレート4の改良） 　テンプレート5の想定環境 　フィルタリセット時の注意

連載 習うより慣れろ！ iptablesテンプレート集

---

Linux Squareフォーラム セキュリティ関連記事

	連載：習うより慣れろ！ iptablesテンプレート集（全4回） 初心者にとって、iptablesは難しい。そこで、学習の第1歩としてテンプレートを自分の環境に適応させることから始めよう
	連載：ゼロから始めるLinuxセキュリティ（全11回） 奥が深いセキュリティ対策の世界をゼロから解説。ホストレベルのセキュリティからファイアウォール、IDSの構築、ログ管理方法まで、システム管理者必見
	特集：WebDAV時代のセキュリティ対策［前編］ WebDAVのメソッドは便利な反面、セキュリティホールとなり得る。しかし、適切な対策を講じることでメソッドの危険性は取り除くことができる
	特集：FreeS/WANによるIPSecの導入と運用［前編］ LinuxでIPSecを利用するには、「FreeS/WAN」というIPSecスタックを用いることになる。まず、これをインストールすることから始めよう
	特集：Linux以外のIPSecスタックとの相互接続［前編］ 別のOSや異なるIPSecスタックとの相互接続が可能なら、その用途は大幅に広がる。前編では、FreeBSDのKAMEと相互接続を試みる
	特集：sshでセキュアネットワーク サーバにリモートログインする場合は、暗号化して転送するsshを使おう。sshをサーバとクライアントにインストールすれば、インターネット上でも安全な通信が可能になる
	more

MONOist組み込み開発フォーラムの中から、Linux関連記事を紹介します

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）