Apr 122017
 

以前も書きましたがIPv6の設定も入れたので再掲。
DebianFirewall – Debian Wiki

こちらで一番ベーシックなiptables-persistentパッケージを導入して設定します。

# apt-get install iptables-persistent

あとはルールを作成。

IPv4用ルールはこちら。

$ cat /etc/iptables/rules.v4
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-unreachable
-A FORWARD -j REJECT --reject-with icmp-host-unreachable
COMMIT

IPv6用ルールはこちら。IPv4ベースに、ICMPv6プロトコル追加と、REJECT時のICMPメッセージをICMPv6に変更しています。

$ cat /etc/iptables/rules.v6
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp   -j ACCEPT
-A INPUT -p icmpv6 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
COMMIT

あとはサービス有効化して完了。

# systemctl start netfilter-persistent
# systemctl enable netfilter-persistent

Sorry, the comment form is closed at this time.