ChannelK

今日を――生き残れ。

Flower

iptables設定で悩む。


VPSを契約した初日から最低限必要なセキュリティ設定は行っているのですが、先日のWordfenceのエントリでも書いたように相変わらずロシアなどからのアクセスが絶えません。
さてさてどうしたものか、と時間を見ながら色々設定をいじっています。(早朝にサイトにつながらなかったのはこのせいです)

最低限の設定として、参考にしていたのはここ。

誰得UNIX-Blog: ServersMan@VPSでのiptables設定(state版) 

ただ、あまりに設定が簡単なだけにもう少し手を加えたいと思ったわけです。
そのようなわけで次に参考に参考にしたのがここ。

ファイアウォール構築(iptables) – CentOSで自宅サーバー構築

iptablesの設定-CENTOSでアリソンサーバー

各種攻撃への対策の他、国別でアクセス制限をかけたりと高機能なのは良いのですが、手直ししてもどうやらServersMan@VPSの提供しているiptablesチェインの数が足らないらしくエラーを吐きまくって国別アクセス制限がかけられませんでした(/proc/user_beancountersを見る限り、上限は256個のようです)。

※追記:後日調べた結果、ロードされているモジュールが足らないようです。VPSによっては使用できないモジュールもあるようなのでこの辺は注意が必要です。

上の設定項目をVPS向けにシンプルにしたのがここ。

VPS における iptables の設定 | POPOLOG

内容を見れば分かるのですが、2つ上のリンク先の設定例から国別設定のスクリプトを取り除いてシンプルにした感じです。これはほんの少しの手直しで問題なく動きました。

……とはいうものの、必要としているのは国別のアクセス制限なんですよね。
ここのサイトが参考になりそうかなと思ったところ、参考サイトがつながらなくてスクリプト全体が見えずにいます。

大陸からのアクセスを規制する – 自宅PCの設定記録

今後も現実逃避のためにちょくちょく手を入れていくと思うので、サイトにつながらなかったらそういうことだと思ってください。^^;;

※さらに追記:CentOS 6.xならばiptabelsの他にipsetも使用できるので、より柔軟な設定ができそうです。
とはいうものの、このblogはCentOS 5.9上で動いているわけで……。

6.x以前でも動くipsetのブランチがあるようですが、どうせならOSもアップグレードしたいところ。
でも、5.xから6.xへのアップグレードはyumでは上げられず、上書きインストールではなく新規インストールが推奨されているのですよね。VPSの場合、インストールを済ませた鯖が割り当てられるとはいっても初期設定にはそれなりの時間がかかるわけで、時間に余裕がないとできません。

Tags: ,

Comments are closed.

Optimization WordPress Plugins & Solutions by W3 EDGE