iptables_構築

JITAKU_SVR_Wiki

よくわからない人は、とりあえず、真似て見て、自分で理解を深めた方が早いのかな？

# cat iptables.20130624
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]

# chain rule
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT

# loopback
-A RH-Firewall-1-INPUT -i lo -j ACCEPT

# icmp
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

# ssh
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

# web(http/https)
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

#serverman
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9510 -j ACCEPT
#contorol
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8081 -j ACCEPT

# mysql slave
-A RH-Firewall-1-INPUT -s 192.168.1.2/32 -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT

# new session
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# log
-A RH-Firewall-1-INPUT -j LOG --log-level debug --log-prefix "[iptables] "

# other drop
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

TIPS:
見ると大体わかると思うけど、--dportで許可したポートを記述し、最後にACCEPTとする。
拒否したい場合はREJECTで。
最後のCOMMITはとても大事なので必ず書くこと。
また、COMMITより後ろに許可、拒否したいポートを書いても無効になってしまうので注意。