2016年12月のメモ帳


2016/12/24

#1 iptablesの設定変更

年末年始で外から使いたいこともあるので、自宅PCにsshで入れるか確認してみると、案の定入れない。動的DNSの更新が止まってた・・のでサーバ再起動にて完了。しかし、やっぱりsshがつながらない。こりゃiptablesでブロックされてるな、ということで設定を変更することにする。元の設定はほぼこのときのもの。debian(jessie)でiptables-persistentパッケージを入れていると、設定は/etc/iptables/rules.v4 に保存されているようなので、これを書き換える。ちなみに、port22しか書いてないのは、外部に出てるルータのNAT設定で、このサーバに転送されてくるのがport22のみに設定してあり、他は全部ルータでブロックされるため。

-A INPUT -p tcp -m tcp --dport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-name t_sshd --hashlimit 3/hour --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-htable-expire 36000000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP

以前との差分は3行目。limitをhashlimitに変更し、アクセス元IPごとに管理するようにした。多数のproxy経由で攻撃されるリスクは上がるけど、自分が全く入れないよりはマシだろう。ファイルを更新後、下記にて設定反映。

# systemctl restart netfilter-persistent

count: 833116