ポートの開閉

ufwの利用

ファイアーウォールを無効にする

sudo ufw disable

すべてのアクセスを拒否に設定

sudo ufw default deny

SSHを許可

sudo ufw allow ssh

HTTPを許可

sudo ufw allow http

HTTPSを許可

sudo ufw allow https

MySQLをローカルネットワークだけ許可

sudo ufw allow from 192.168.11.0/24 to any port mysql

ファイアーウォールを有効にする

sudo ufw enable

プロキシサーバを無効にする

sudo ufw deny 3128/tcp

ルールを削除する

sudo ufw delete DENY 3128/tcp

設定確認

sudo ufw status

Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
3306                       ALLOW       192.168.11.0/24

ufwヘルプ

Commands:
 enable                          enables the firewall
 disable                         disables the firewall
 default ARG                     set default policy
 logging LEVEL                   set logging to LEVEL
 allow ARGS                      add allow rule
 deny ARGS                       add deny rule
 reject ARGS                     add reject rule
 limit ARGS                      add limit rule
 delete RULE|NUM                 delete RULE
 insert NUM RULE                 insert RULE at NUM
 reset                           reset firewall
 status                          show firewall status
 status numbered                 show firewall status as numbered list of RULES
 status verbose                  show verbose firewall status
 show ARG                        show firewall report
 version                         display version information

Application profile commands:
 app list                        list application profiles
 app info PROFILE                show information on PROFILE
 app update PROFILE              update PROFILE
 app default ARG                 set default application policy

確認

現在有効な接続状況確認

netstat -antu

Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:6379          0.0.0.0:*               LISTEN

MySQLとMongoDBの設定ファイル内でローカル接続のみを有効に設定しているため
127.0.0.1の制限がある。

番号付き一覧表示

iptables -L --line-numbers

TCPダンプで確認

sudo tcpdump -s 1600 -X -i eth0 src port 80
sudo tcpdump -s 1600 -X -i eth0 dst port 80

Leave a reply