概要

今に始まった事ではないのですが、外部公開サーバに対するセキュリティー対策としてファイアウォールをしっかりと設定する必要が出てきました。
個人で借りているサーバにおいて不正パケットが大量に発生していたのでとりあえず設定を行ってみたもののやっぱりよく知っておいた方が安心できるという事で現在勉強中です。
その中でも腑に落ちなかった点があったのでメモ。

:INPUT ACCEPT [0:0]の[0:0]は何の事？

• パケット・バイトカウンタ　[ﾊﾟｹｯﾄｶｳﾝﾀ:ﾊﾞｲﾄｶｳﾝﾀ]を表している。
• #iptables-save > iptables.cfgとすると現在のパケット・バイトカウンタが保存されるので確認できる。


• 初期状態でCentOSをｲﾝｽﾄｰﾙした場合、/etc/sysconfig/iptablesには「:INPUT ACCEPT [0:0]」となっている為、再設定する度に初期化される。
• パケット・バイトカウンタを利用する事で各プロトコルの通信量の確認が可能


• 通信量を把握しておけば、攻撃を受けているのか判断をする事も可能

:INPUT ACCEPT にしているのに通信できない

• CentOS 6.2のﾃﾞﾌｫﾙﾄの状態は確かにﾃﾞﾌｫﾙﾄﾎﾟﾘｼｰは「:INPUT ACCEPT」となっておりﾙｰﾙが明示されていない通信は許可されるはず。


• 例えば、Apacheをｲﾝｽﾄｰﾙしてｱｸｾｽしてもそのままでは通信が行えない。

なぜなのか？

• よく見ると次のﾙｰﾙが記述されている
• -A INPUT -j REJECT --reject-with icmp-host-prohibited


• これは、「入ってきたﾊﾟｹｯﾄ」に対して「ｴﾗｰﾊﾟｹｯﾄ」で応答しなさいという事。


• この記述より前に記述されているﾙｰﾙに一つも一致しない場合に適用される。


• ﾃﾞﾌｫﾙﾄでは、「SSH」、「接続状態のもの」、「icmp」、「ﾙｰﾌﾟﾊﾞｯｸ(ｻｰﾊﾞ自身からのｱｸｾｽ)」が許可されている。


• HTTP通信はこれらのﾙｰﾙに一致しない為、「REJECT」ﾙｰﾙが適用されるので通信が行えない事となる。

「REJECT」は基本的に「DROP」と同じ動作であるが、接続元に対してｴﾗｰﾊﾟｹｯﾄを送信する点で異なる。ﾃﾞﾌｫﾙﾄでは、「port-unreachable」(ポート到達不能)を返す。「icmp-host-prohibited」は、Host Unreachable (ホスト到達不能)をｴﾗｰﾊﾟｹｯﾄとして送信する。例えば、悪意あるユーザがﾎﾟｰﾄｽｷｬﾝを行った場合において「port-unreachable」ではﾎｽﾄの存在を知らせてしまう事となる。
「Host Unreachable」ではそもそも存在しないのか、電源が落ちているのか判断出来ない為に諦めさせられる可能性がある。
ただし、Webｻｰﾊﾞなどを不特定多数に公開している場合はこの限りではない。


参考：
　Man Page of iptables
　ICMPタイプリスト