2005-03-22 パケットフィルタリング メモ サーバ立 http://www.atmarkit.co.jp/flinux/rensai/security05/security05a.html iptablesによるパケットフィルタリング FORWARDチェイン パケットの送信先が違うとき その送信先に送信するかを許可/拒否する INPUTチェイン ファイアウォールに対しての操作のインプットの許可/拒否 OUTPUTチェイン ファイアウォールからのアウトプットの許可/拒否 FORWARDチェイン 必要なパケットをDMZ上の目的ホストへ送信する。 基本はDROP 必要に応じて穴を開ける。 通信の上り下り両方のルールを設ける TCPヘッダのフラグや、ICMPのTypeや、パケットの状態よってもフィルタできる。 SYNがセットされたパケットの通過を拒否とか パケットが確立中の(ESTABLISH)コネクションに対しての応答の場合のみ許可とか クラッカーに侵入されてしまってもほかのホストへの踏み台とされないように INPUT/OUTPUTチェイン OUTPUTチェインはFORWARDの下りと同様の考え方で