iptablesを使ったファイアウォールを調べた際のメモ(自分用)、なので説明は省略。
サンプル1
#!/bin/bash
#---------------------------------------#
# 設定開始 #
#---------------------------------------#
# 内部ネットワークアドレス定義
LOCALNET=192.168.1.0/24
#---------------------------------------#
# 設定終了 #
#---------------------------------------#
# デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設定
IPTABLES_CONFIG=`mktemp`
echo "*filter" >> $IPTABLES_CONFIG
echo ":INPUT DROP [0:0]" >> $IPTABLES_CONFIG # 受信はすべて破棄
echo ":FORWARD DROP [0:0]" >> $IPTABLES_CONFIG # 通過はすべて破棄
echo ":OUTPUT ACCEPT [0:0]" >> $IPTABLES_CONFIG # 送信はすべて許可
echo ":ACCEPT_COUNTRY - [0:0]" >> $IPTABLES_CONFIG # 指定した国からのアクセスを許可
echo ":DROP_COUNTRY - [0:0]" >> $IPTABLES_CONFIG # 指定した国からのアクセスを破棄
echo ":LOG_PINGDEATH - [0:0]" >> $IPTABLES_CONFIG # Ping of Death攻撃はログを記録して破棄
# 自ホストからのアクセスをすべて許可
echo "-A INPUT -i lo -j ACCEPT" >> $IPTABLES_CONFIG
# 内部からのアクセスをすべて許可
echo "-A INPUT -s $LOCALNET -j ACCEPT" >> $IPTABLES_CONFIG
# 内部から行ったアクセスに対する外部からの返答アクセスを許可
echo "-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT" >> $IPTABLES_CONFIG
# SYN Cookiesを有効にする
# ※TCP SYN Flood攻撃対策
sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null
sed -i '/net.ipv4.tcp_syncookies/d' /etc/sysctl.conf
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf
# ブロードキャストアドレス宛pingには応答しない
# ※Smurf攻撃対策
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null
sed -i '/net.ipv4.icmp_echo_ignore_broadcasts/d' /etc/sysctl.conf
echo "net.ipv4.icmp_echo_ignore_broadcasts=1" >> /etc/sysctl.conf
# ICMP Redirectパケットは拒否
sed -i '/net.ipv4.conf.*.accept_redirects/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
sysctl -w net.ipv4.conf.$dev.accept_redirects=0 > /dev/null
echo "net.ipv4.conf.$dev.accept_redirects=0" >> /etc/sysctl.conf
done
# Source Routedパケットは拒否
sed -i '/net.ipv4.conf.*.accept_source_route/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
sysctl -w net.ipv4.conf.$dev.accept_source_route=0 > /dev/null
echo "net.ipv4.conf.$dev.accept_source_route=0" >> /etc/sysctl.conf
done
# フラグメント化されたパケットはログを記録して破棄
echo "-A INPUT -f -j LOG --log-prefix \"[IPTABLES FRAGMENT] : \"" >> $IPTABLES_CONFIG
echo "-A INPUT -f -j DROP" >> $IPTABLES_CONFIG
# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
# ※不要ログ記録防止
echo "-A INPUT ! -s $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP" >> $IPTABLES_CONFIG
echo "-A INPUT ! -s $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP" >> $IPTABLES_CONFIG
echo "-A OUTPUT ! -d $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP" >> $IPTABLES_CONFIG
echo "-A OUTPUT ! -d $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP" >> $IPTABLES_CONFIG
# 1秒間に4回を超えるpingはログを記録して破棄
# ※Ping of Death攻撃対策
echo "-A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT" >> $IPTABLES_CONFIG
echo "-A LOG_PINGDEATH -j LOG --log-prefix \"[IPTABLES PINGDEATH] : \"" >> $IPTABLES_CONFIG
echo "-A LOG_PINGDEATH -j DROP" >> $IPTABLES_CONFIG
echo "-A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH" >> $IPTABLES_CONFIG
# 全ホスト(ブロードキャストアドレス、マルチキャストアドレス)宛パケットはログを記録せずに破棄
# ※不要ログ記録防止
echo "-A INPUT -d 255.255.255.255 -j DROP" >> $IPTABLES_CONFIG
echo "-A INPUT -d 224.0.0.1 -j DROP" >> $IPTABLES_CONFIG
# 113番ポート(IDENT)へのアクセスには拒否応答
# ※メールサーバ等のレスポンス低下防止
echo "-A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset" >> $IPTABLES_CONFIG
# ACCEPT_COUNTRY_MAKE関数定義
# 指定された国のIPアドレスからのアクセスを許可するユーザ定義チェイン作成
ACCEPT_COUNTRY_MAKE(){
for addr in `cat /tmp/cidr.txt|grep ^$1|awk '{print $2}'`
do
echo "-A ACCEPT_COUNTRY -s $addr -j ACCEPT" >> $IPTABLES_CONFIG
done
grep ^$1 $IP_LIST >> $CHK_IP_LIST
}
# DROP_COUNTRY_MAKE関数定義
# 指定された国のIPアドレスからのアクセスを破棄するユーザ定義チェイン作成
DROP_COUNTRY_MAKE(){
for addr in `cat /tmp/cidr.txt|grep ^$1|awk '{print $2}'`
do
echo "-A DROP_COUNTRY -s $addr -m limit --limit 1/s -j LOG --log-prefix \"[IPTABLES DENY_COUNTRY] : \"" >> $IPTABLES_CONFIG
echo "-A DROP_COUNTRY -s $addr -j DROP" >> $IPTABLES_CONFIG
done
grep ^$1 $IP_LIST >> $CHK_IP_LIST
}
# IPアドレスリスト取得
IP_LIST=/tmp/cidr.txt
CHK_IP_LIST=/tmp/IPLIST
if [ ! -f $IP_LIST ]; then
wget -q http://nami.jp/ipv4bycc/cidr.txt.gz
gunzip -c cidr.txt.gz > $IP_LIST
rm -f cidr.txt.gz
fi
rm -f $CHK_IP_LIST
# 日本からのアクセスを許可するユーザ定義チェインACCEPT_COUNTRY作成
ACCEPT_COUNTRY_MAKE JP
# 以降,日本からのみアクセスを許可したい場合はACCEPTのかわりにACCEPT_COUNTRYを指定する
# 全国警察施設への攻撃元上位5カ国(日本・アメリカを除く)からのアクセスをログを記録して破棄
# http://www.cyberpolice.go.jp/detect/observation.htmlより
DROP_COUNTRY_MAKE CN
DROP_COUNTRY_MAKE CA
DROP_COUNTRY_MAKE IR
DROP_COUNTRY_MAKE NL
DROP_COUNTRY_MAKE TW
echo "-A INPUT -j DROP_COUNTRY" >> $IPTABLES_CONFIG
#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここから) #
#----------------------------------------------------------#
# 外部からのTCP22番ポート(SSH)へのアクセスを日本からのみ許可
# ※SSHサーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 22 -j ACCEPT_COUNTRY" >> $IPTABLES_CONFIG
# 外部からのTCP/UDP53番ポート(DNS)へのアクセスを許可
# ※外部向けDNSサーバーを運用する場合のみ
echo "-A INPUT -p tcp --dport 53 -j ACCEPT" >> $IPTABLES_CONFIG
echo "-A INPUT -p udp --dport 53 -j ACCEPT" >> $IPTABLES_CONFIG
# 外部からのTCP80番ポート(HTTP)へのアクセスを許可
# ※Webサーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 80 -j ACCEPT" >> $IPTABLES_CONFIG
# 外部からのTCP443番ポート(HTTPS)へのアクセスを許可
# ※Webサーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 443 -j ACCEPT" >> $IPTABLES_CONFIG
# 外部からのTCP21番ポート(FTP)へのアクセスを日本からのみ許可
# ※FTPサーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 21 -j ACCEPT_COUNTRY" >> $IPTABLES_CONFIG
# 外部からのPASV用ポート(FTP-DATA)へのアクセスを日本からのみ許可
# ※FTPサーバーを公開する場合のみ
# ※PASV用ポート60000:60030は当サイトの設定例
echo "-A INPUT -p tcp --dport 60000:60030 -j ACCEPT_COUNTRY" >> $IPTABLES_CONFIG
# 外部からのTCP25番ポート(SMTP)へのアクセスを許可
# ※SMTPサーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 25 -j ACCEPT" >> $IPTABLES_CONFIG
# 外部からのTCP465番ポート(SMTPS)へのアクセスを日本からのみ許可
# ※SMTPSサーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 465 -j ACCEPT_COUNTRY" >> $IPTABLES_CONFIG
# 外部からのTCP110番ポート(POP3)へのアクセスを日本からのみ許可
# ※POP3サーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 110 -j ACCEPT_COUNTRY" >> $IPTABLES_CONFIG
# 外部からのTCP995番ポート(POP3S)へのアクセスを日本からのみ許可
# ※POP3Sサーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 995 -j ACCEPT_COUNTRY" >> $IPTABLES_CONFIG
# 外部からのTCP143番ポート(IMAP)へのアクセスを日本からのみ許可
# ※IMAPサーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 143 -j ACCEPT_COUNTRY" >> $IPTABLES_CONFIG
# 外部からのTCP993番ポート(IMAPS)へのアクセスを日本からのみ許可
# ※IMAPSサーバーを公開する場合のみ
echo "-A INPUT -p tcp --dport 993 -j ACCEPT_COUNTRY" >> $IPTABLES_CONFIG
# 外部からのUDP1194番ポート(OpenVPN)へのアクセスを日本からのみ許可
# ※OpenVPNサーバーを公開する場合のみ
echo "-A INPUT -p udp --dport 1194 -j ACCEPT_COUNTRY" >> $IPTABLES_CONFIG
# VPNインタフェース用ファイアウォール設定
# ※OpenVPNサーバーを公開する場合のみ
[ -f /etc/openvpn/openvpn-startup ] && \
grep ^iptables /etc/openvpn/openvpn-startup|sed -e 's/iptables //p' -e d >> $IPTABLES_CONFIG
#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここまで) #
#----------------------------------------------------------#
# 拒否IPアドレスからのアクセスはログを記録せずに破棄
# ※拒否IPアドレスは/root/deny_ipに1行ごとに記述しておくこと
# (/root/deny_ipがなければなにもしない)
if [ -s /root/deny_ip ]; then
for ip in `cat /root/deny_ip`
do
echo "-I INPUT -s $ip -j DROP" >> $IPTABLES_CONFIG
done
fi
# 上記のルールにマッチしなかったアクセスはログを記録して破棄
echo "-A INPUT -m limit --limit 1/s -j LOG --log-prefix \"[IPTABLES INPUT] : \"" >> $IPTABLES_CONFIG
echo "-A INPUT -j DROP" >> $IPTABLES_CONFIG
echo "-A FORWARD -m limit --limit 1/s -j LOG --log-prefix \"[IPTABLES FORWARD] : \"" >> $IPTABLES_CONFIG
echo "-A FORWARD -j DROP" >> $IPTABLES_CONFIG
# ファイアウォール設定反映
echo "COMMIT" >> $IPTABLES_CONFIG
cat $IPTABLES_CONFIG > /etc/sysconfig/iptables
if [ -f /usr/libexec/iptables/iptables.init ]; then
/usr/libexec/iptables/iptables.init restart
else
/etc/rc.d/init.d/iptables restart
fi
rm -f $IPTABLES_CONFIGサンプル2
■hashlimitによるDoS対策
前述したbrute force attackは既に古い手法であり、これを使うのであればhashlimitモジュールの使用をおすすめします。
hashlimitはクライアントのIPアドレスごとに一定期間の接続回数をカウントし、閾値を超えた場合はドロップするといったことが可能となります。
ありがちなのはWebメールサーバなどにおいて辞書攻撃を受けて不正にログインされSPAMを送られるということが過去にありました。
こういったケースでは短時間に猛烈なアクセスをかけてくるので、こういった類の攻撃を防ぐのにも役立つと思います。
このhashlimitを使ったiptablesのconfigは以下のようになります。
-A INPUT -m state --state NEW -p tcp -s 192.168.12.0/24 --dport 22 \
-m hashlimit --hashlimit-burst 5 --hashlimit 1/m --hashlimit-mode srcip \
--hashlimit-htable-expire 120000 --hashlimit-name ssh-limit -j ACCEPT長いので3行にわけて記載しています。各項目の意味は以下のようになります。
項目 説明
-m hashlimit hashlimitモジュールを使用する
-hashlimit-burst 5 規定時間内に5パケット受信すればリミットを有効にする
-hashlimit 1/m リミット時には1分間に1パケットを上限とする
-hashlimit-mode srcip ソースIPを元にアクセスを制限する
-hashlimit-htable-expire 120000 リミットの有効期間。単位はmsで120000は2分間。
-hashlimit-name ssh-limit 送信元IPを記録するファイル名。
ハッシュリミットは規定時間内にどれだけのパケットを受理するのかを制限するためのものです。
-hashlimit-htable-expireでその規定時間を設定します。
上では2分という値を設定しており、これが一定の区切りとなります。
この2分の間に同一送信元IPから5パケット以上届けばリミットが有効となり、その後は毎分5パケットのみ許可されるようになります。
2分が経過すると送信元IPが一旦リフレッシュされ、以降は同様の動きとなります。
hashlimit-nameで指定するファイルは送信元IPアドレスは以下に記録されます。
# tail /proc/net/ipt_hashlimit/ssh-limit
1171 192.168.12.2:0->0.0.0.0:0 1293728 1920000 1920000サンプル3
#!/bin/sh
#
# iptables firewall
#
# @version 0.1.4
# @author falsandtru https://github.com/falsandtru/iptables-firewall/
# @copyright 2014, falsandtru
# @license MIT
#
#----------------------------------------------------------#
# Config #
#----------------------------------------------------------#
# 管理用ポート番号
LOGIN=0
# IPの更新間隔(日)
INTERVAL=7
# インタフェース名定義
LAN=eth0
# IPSの使用
IPS=
# 許可 日本
ACCEPT_COUNTRY_CODE="JP"
# 拒否 中国|香港|マカオ|韓国|北朝鮮
DROP_COUNTRY_CODE="CN|HK|MO|KR|KP"
# ブラックリスト/ホワイトリスト/厳格モード
BLACKLIST=
WHITELIST=
STRICT=false
# ログの最大生成間隔
LOG_LIMIT=6/m
LOG_LIMIT_BURST=10
# コマンド
IPTABLES=iptables
# IPリスト保存先ディレクトリ
CACHE_DIR=/var/cache/iptables/
#----------------------------------------------------------#
# AutoConfig #
#----------------------------------------------------------#
echo "iptables firewall"
# SSHポート取得
[[ ! $LOGIN -gt 0 ]] && LOGIN=`cat /etc/ssh/sshd_config | grep '^Port ' | tail -n 1 | sed -e 's/^[^0-9]*\([0-9]\+\).*$/\1/'`
echo "LOGIN: $LOGIN"
# IPS設定
if [ ! $IPS ] || [ $IPS != false ]; then
if [ `ps alx | grep -v grep | grep /snort | head -n 1 | cut -c1` ]; then
IPS=Snort
else
IPS=false
fi
fi
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`
# 内部ネットワークのネットマスク取得
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`
# 内部ネットワークアドレス取得
LOCALNET_ADDR=`netstat -rn|grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK
# IP設定
NAMESERVERS=($(grep '^nameserver' /etc/resolv.conf | cut -d' ' -f2))
NTPSERVERS=($(grep '^server' /etc/ntp.conf | cut -d' ' -f2 | awk '{system("dig +short "$1)}'))
#----------------------------------------------------------#
# Download #
#----------------------------------------------------------#
WGET="/usr/bin/wget -N --retr-symlinks -P ${CACHE_DIR}"
if [ $STRICT = true ] || [[ $(find ${CACHE_DIR} -name delegated-*-extended-latest -ctime -$INTERVAL 2>&1) ]]; then
UPDATE=0
echo "UPDATE: NO"
else
UPDATE=1
echo "UPDATE: YES"
$WGET ftp://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest
$WGET ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-extended-latest
$WGET ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-extended-latest
$WGET ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest
$WGET ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-extended-latest
fi
#----------------------------------------------------------#
# Initialize #
#----------------------------------------------------------#
if [ 0 -ne $UPDATE ] && [[ $(find ${CACHE_DIR} -name delegated-*-extended-latest -mtime -$INTERVAL 2>&1) ]]; then
RESET=1
else
RESET=0
fi
$IPTABLES -D DROP_FILTER -g WHITELIST 2>/dev/null
for CHAIN in `$IPTABLES -nL | grep ^Chain | cut -d " " -f 2`; do
if [ $RESET -ne 0 ]; then
echo "DELETE: All Chains"
$IPTABLES -F
$IPTABLES -X
break
fi
if [ $CHAIN != COUNTRY_FILTER ] && [ $CHAIN != DROP_FILTER ]; then
$IPTABLES -F $CHAIN
fi
done
for CHAIN in `$IPTABLES -nL | grep ^Chain | cut -d " " -f 2`; do
if [ $RESET -ne 0 ]; then
break
fi
if [ $CHAIN != COUNTRY_FILTER ] && [ $CHAIN != DROP_FILTER ] && [ $CHAIN != ACCEPT_FILTER ]; then
if [ $CHAIN != INPUT ] && [ $CHAIN != FORWARD ] && [ $CHAIN != OUTPUT ]; then
$IPTABLES -X $CHAIN
fi
fi
done
$IPTABLES -Z
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
$IPTABLES -N ACCEPT_FILTER 2>/dev/null
$IPTABLES -A ACCEPT_FILTER -j ACCEPT
#----------------------------------------------------------#
# Preprocess #
#----------------------------------------------------------#
# ループバック(自身)のアクセスをすべて許可
$IPTABLES -A INPUT -i lo -j ACCEPT_FILTER
$IPTABLES -A OUTPUT -o lo -j ACCEPT_FILTER
$IPTABLES -A FORWARD -i lo -j ACCEPT_FILTER
$IPTABLES -A FORWARD -o lo -j ACCEPT_FILTER
# 確立した接続を切断しない
# 設定完了まで切断されてもよいなら除外
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT_FILTER
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT_FILTER
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT_FILTER
# 名前解決できるようにする
for nameserver in ${NAMESERVERS[@]}; do
$IPTABLES -A INPUT -s $nameserver -p udp --dport 53 -j ACCEPT_FILTER
$IPTABLES -A OUTPUT -d $nameserver -p udp --sport 53 -j ACCEPT_FILTER
$IPTABLES -A FORWARD -s $nameserver -p udp --dport 53 -j ACCEPT_FILTER
$IPTABLES -A FORWARD -d $nameserver -p udp --sport 53 -j ACCEPT_FILTER
echo "NAMESERVER: $nameserver"
done
# NTPサーバと同期できるようにする
for ntpserver in ${NTPSERVERS[@]}; do
$IPTABLES -A INPUT -s $ntpserver -p udp --dport 123 -j ACCEPT_FILTER
$IPTABLES -A OUTPUT -d $ntpserver -p udp --sport 123 -j ACCEPT_FILTER
$IPTABLES -A FORWARD -s $ntpserver -p udp --dport 123 -j ACCEPT_FILTER
$IPTABLES -A FORWARD -d $ntpserver -p udp --sport 123 -j ACCEPT_FILTER
echo "NTPSERVER: $ntpserver"
done
#----------------------------------------------------------#
# CountryFilter #
#----------------------------------------------------------#
BUILD_COUNTRY(){
if [ ! -s $CACHE_DIR$1 ] || [ ! $2 ] || [ ! $3 ];then return;fi
echo "LOAD: $1"
for line in `cat $CACHE_DIR$1 | grep -E "\|($2|$3)\|ipv4\|"`
do
CODE=`echo $line | cut -d "|" -f 2`
ADDR=`echo $line | cut -d "|" -f 4`
TEMP=`echo $line | cut -d "|" -f 5`
CIDR=32
while [ $TEMP -ne 1 ]; do
TEMP=`expr "$TEMP" / 2`
CIDR=`expr "$CIDR" - 1`
done
if [ `echo $line | grep -E "\|($3)\|ipv4\|"` ]; then
$IPTABLES -A COUNTRY_FILTER -s $ADDR/$CIDR -j ACCEPT_FILTER
printf "%-10s%-4s%-20s%s\n" ACCEPT $CODE $ADDR/$CIDR $line
else
$IPTABLES -A DROP_FILTER -s $ADDR/$CIDR -j DROP
printf "%-10s%-4s%-20s%s\n" DROP $CODE $ADDR/$CIDR $line
fi
done
}
if [ $STRICT != true ]; then
if [ $RESET -ne 0 ] || [[ 3 > $($IPTABLES -nL COUNTRY_FILTER 2>/dev/null | awk 'END{print NR}') ]] || [[ 3 > $($IPTABLES -nL DROP_FILTER 2>/dev/null | awk 'END{print NR}') ]]; then
echo "BUILD: Chain COUNTRY_FILTER"
echo "BUILD: Chain DROP_FILTER"
$IPTABLES -F COUNTRY_FILTER 2>/dev/null
$IPTABLES -X COUNTRY_FILTER 2>/dev/null
$IPTABLES -N COUNTRY_FILTER 2>/dev/null
$IPTABLES -F DROP_FILTER 2>/dev/null
$IPTABLES -X DROP_FILTER 2>/dev/null
$IPTABLES -N DROP_FILTER 2>/dev/null
BUILD_COUNTRY "delegated-apnic-extended-latest" $DROP_COUNTRY_CODE $ACCEPT_COUNTRY_CODE
BUILD_COUNTRY "delegated-arin-extended-latest" $DROP_COUNTRY_CODE $ACCEPT_COUNTRY_CODE
BUILD_COUNTRY "delegated-ripencc-extended-latest" $DROP_COUNTRY_CODE $ACCEPT_COUNTRY_CODE
BUILD_COUNTRY "delegated-lacnic-extended-latest" $DROP_COUNTRY_CODE $ACCEPT_COUNTRY_CODE
BUILD_COUNTRY "delegated-afrinic-extended-latest" $DROP_COUNTRY_CODE $ACCEPT_COUNTRY_CODE
$IPTABLES -A COUNTRY_FILTER -j DROP
else
echo "REUSE: Chain COUNTRY_FILTER"
echo "REUSE: Chain DROP_FILTER"
fi
$IPTABLES -A INPUT -j DROP_FILTER
$IPTABLES -A OUTPUT -j DROP_FILTER
$IPTABLES -A FORWARD -j DROP_FILTER
else
$IPTABLES -N COUNTRY_FILTER 2>/dev/null
$IPTABLES -N DROP_FILTER 2>/dev/null
$IPTABLES -A COUNTRY_FILTER -j ACCEPT_FILTER
fi
#----------------------------------------------------------#
# Firewall #
#----------------------------------------------------------#
# 送信元IPの偽装防止
sed -i '/net.ipv4.conf.*.rp_filter/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
sysctl -w net.ipv4.conf.$dev.rp_filter=1 > /dev/null
echo "net.ipv4.conf.$dev.rp_filter=1" >> /etc/sysctl.conf
done
# ICMP Redirectパケットを拒否
sed -i '/net.ipv4.conf.*.accept_redirects/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
sysctl -w net.ipv4.conf.$dev.accept_redirects=0 > /dev/null
echo "net.ipv4.conf.$dev.accept_redirects=0" >> /etc/sysctl.conf
done
# Source Routedパケットを拒否
sed -i '/net.ipv4.conf.*.accept_source_route/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
sysctl -w net.ipv4.conf.$dev.accept_source_route=0 > /dev/null
echo "net.ipv4.conf.$dev.accept_source_route=0" >> /etc/sysctl.conf
done
# ブロードキャストアドレス宛pingには応答しない
# ※Smurf攻撃対策
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null
sed -i '/net.ipv4.icmp_echo_ignore_broadcasts/d' /etc/sysctl.conf
echo "net.ipv4.icmp_echo_ignore_broadcasts=1" >> /etc/sysctl.conf
# SYN Cookiesを有効にする
# ※TCP SYN Flood攻撃対策
sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null
sed -i '/net.ipv4.tcp_syncookies/d' /etc/sysctl.conf
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf
# システムの連続稼働時間を通知しない
# ※カーネルバージョン特定対策
sysctl -w net.ipv4.tcp_timestamps=1 > /dev/null
sed -i '/net.ipv4.tcp_timestamps/d' /etc/sysctl.conf
echo "net.ipv4.tcp_timestamps=1" >> /etc/sysctl.conf
# 不正なアクセスを行ったIPからのすべてのアクセスをログを記録して破棄
# ※調査的アクセスから公開ポートを隠蔽する
# ※公開サーバーでは無効にしてよい
$IPTABLES -N ANTI_SPY
$IPTABLES -A ANTI_SPY -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES SPY] : '
$IPTABLES -A ANTI_SPY -j DROP
$IPTABLES -N FW_SPY
# 公開サーバーでは既知のポートはフィルタしない
$IPTABLES -A FW_SPY -p tcp --dport 0:1023 -j RETURN
$IPTABLES -A FW_SPY -p tcp -m state --state ESTABLISHED,RELATED -j RETURN
$IPTABLES -A FW_SPY -m limit --limit 1000/s --limit-burst 10000 -m recent --name spy-rapid --update --rttl -j ANTI_SPY
$IPTABLES -A FW_SPY -m limit --limit 1000/s --limit-burst 10000 -m recent --name spy-fast --update --rttl -j ANTI_SPY
$IPTABLES -A FW_SPY -m limit --limit 1000/s --limit-burst 10000 -m recent --name spy-medium --update --rttl -j ANTI_SPY
$IPTABLES -A FW_SPY -m limit --limit 1000/s --limit-burst 10000 -m recent --name spy-slow --update --rttl -j ANTI_SPY
$IPTABLES -A ACCEPT_FILTER -j FW_SPY && echo "FIREWALL: ANTI_SPY ACCEPT_FILTER"
# recentモジュールは初期値で100IPしか記憶できない
# 送信元を偽装したパケットを大量に送りつけるか調査元の絶対数が増えると容易に無効化されるため対処されれば効果はない
# 攻撃価値の不明なIPの存在確認とポートスキャンに必要となる最小コストを上げる防御としては有効
# 管理機能を持つサーバーは攻撃価値を特定され本格的な攻撃を受けないよう非公開サーバーに分離隠蔽する必要がある
# $ vi /etc/modprobe.d/iptables-recent.conf
# options ip_list_hash_size=0 xt_recent ip_list_tot=1000
# $ reboot
# $ cat /sys/module/xt_recent/parameters/ip_list_tot
# $ ls /proc/net/xt_recent/
# 不審なアクセスを行っているIPをスパイとして記録
# ※不審なアクセスを長時間追跡する
# ※正規の通信のフィルタとして使用不可
# ※公開サーバーでは無効にしてよい
$IPTABLES -N ANTI_PROWLER_RAPID
$IPTABLES -A ANTI_PROWLER_RAPID -m recent --name spy-rapid --update --rttl -j DROP
$IPTABLES -A ANTI_PROWLER_RAPID -m recent --name spy-rapid --set -j DROP
$IPTABLES -N ANTI_PROWLER_FAST
$IPTABLES -A ANTI_PROWLER_FAST -m recent --name spy-fast --update --rttl -j DROP
$IPTABLES -A ANTI_PROWLER_FAST -m recent --name spy-fast --set -j DROP
$IPTABLES -N ANTI_PROWLER_MEDIUM
$IPTABLES -A ANTI_PROWLER_MEDIUM -m recent --name spy-medium --update --rttl -j DROP
$IPTABLES -A ANTI_PROWLER_MEDIUM -m recent --name spy-medium --set -j DROP
$IPTABLES -N ANTI_PROWLER_SLOW
$IPTABLES -A ANTI_PROWLER_SLOW -m recent --name spy-slow --update --rttl -j DROP
$IPTABLES -A ANTI_PROWLER_SLOW -m recent --name spy-slow --set -j DROP
$IPTABLES -N FW_PROWLER
$IPTABLES -A FW_PROWLER \
-m hashlimit \
--hashlimit-name prowler-limit \
--hashlimit-above 1/s \
--hashlimit-burst 1 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 800 \
-j DROP
$IPTABLES -N FW_PROWLER_LIMIT
$IPTABLES -A FW_PROWLER_LIMIT -m limit --limit 1000/s --limit-burst 10000 -j RETURN
$IPTABLES -A FW_PROWLER_LIMIT -j DROP
$IPTABLES -A FW_PROWLER -j FW_PROWLER_LIMIT
$IPTABLES -A FW_PROWLER \
-m hashlimit \
--hashlimit-name prowler-rapid \
--hashlimit-above 1/s \
--hashlimit-burst 1 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 1000 \
-j ANTI_PROWLER_RAPID
$IPTABLES -A FW_PROWLER -m recent --name spy-rapid --set
$IPTABLES -A FW_PROWLER \
-m hashlimit \
--hashlimit-name prowler-fast \
--hashlimit-above 1/h \
--hashlimit-burst 1 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 100000 \
-j ANTI_PROWLER_FAST
$IPTABLES -A FW_PROWLER -m recent --name spy-fast --set
$IPTABLES -A FW_PROWLER \
-m hashlimit \
--hashlimit-name prowler-medium \
--hashlimit-above 1/h \
--hashlimit-burst 1 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 1000000 \
-j ANTI_PROWLER_MEDIUM
$IPTABLES -A FW_PROWLER -m recent --name spy-medium --set
$IPTABLES -A FW_PROWLER \
-m hashlimit \
--hashlimit-name prowler-slow \
--hashlimit-above 1/d \
--hashlimit-burst 1 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 10000000 \
-j ANTI_PROWLER_SLOW
$IPTABLES -A FW_PROWLER -m recent --name spy-slow --set
$IPTABLES -A FW_PROWLER -j DROP
# 全ホスト(ブロードキャストアドレス、マルチキャストアドレス)宛パケットをログを記録せずに破棄
$IPTABLES -N DENY_BROADCAST
$IPTABLES -A DENY_BROADCAST -j DROP
$IPTABLES -N FW_BROADCAST
$IPTABLES -A FW_BROADCAST -m pkttype --pkt-type broadcast -j DENY_BROADCAST
$IPTABLES -A FW_BROADCAST -m pkttype --pkt-type multicast -j DENY_BROADCAST
$IPTABLES -A INPUT -j FW_BROADCAST && echo "FIREWALL: DENY_BROADCAST INPUT"
$IPTABLES -A FORWARD -j FW_BROADCAST && echo "FIREWALL: DENY_BROADCAST FORWARD"
# 送信元IPアドレスがLANネットワーク範囲外のパケットをログを記録して破棄してNG
# ※Ingress攻撃対策
$IPTABLES -N ANTI_INGRESS
$IPTABLES -A ANTI_INGRESS -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES INGRESS] : '
$IPTABLES -A ANTI_INGRESS -j FW_PROWLER
$IPTABLES -A ANTI_INGRESS -j DROP
$IPTABLES -N FW_INGRESS
$IPTABLES -A FW_INGRESS -i $LAN ! -s $LOCALNET -j ANTI_INGRESS
$IPTABLES -A FORWARD -j FW_INGRESS && echo "FIREWALL: ANTI_INGRESS FORWARD"
# WANからの送信元がプライベートIPアドレスのパケットをログを記録して破棄してNG
# ※IP spoofing攻撃対策
$IPTABLES -N ANTI_SPOOFING
$IPTABLES -A ANTI_SPOOFING -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES SPOOFING] : '
$IPTABLES -A ANTI_SPOOFING -j FW_PROWLER
$IPTABLES -A ANTI_SPOOFING -j DROP
$IPTABLES -N FW_SPOOFING
$IPTABLES -A FW_SPOOFING -i eth+ -s 127.0.0.0/8 -j ANTI_SPOOFING
$IPTABLES -A FW_SPOOFING -i eth+ -s 10.0.0.0/8 -j ANTI_SPOOFING
$IPTABLES -A FW_SPOOFING -i eth+ -s 172.16.0.0/12 -j ANTI_SPOOFING
$IPTABLES -A FW_SPOOFING -i eth+ -s 192.168.0.0/16 -j ANTI_SPOOFING
$IPTABLES -A FW_SPOOFING -i ppp+ -s 127.0.0.0/8 -j ANTI_SPOOFING
$IPTABLES -A FW_SPOOFING -i ppp+ -s 10.0.0.0/8 -j ANTI_SPOOFING
$IPTABLES -A FW_SPOOFING -i ppp+ -s 172.16.0.0/12 -j ANTI_SPOOFING
$IPTABLES -A FW_SPOOFING -i ppp+ -s 192.168.0.0/16 -j ANTI_SPOOFING
$IPTABLES -A ACCEPT_FILTER -j FW_SPOOFING && echo "FIREWALL: ANTI_SPOOFING ACCEPT_FILTER"
# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄してNG
$IPTABLES -N DENY_NETBIOS
$IPTABLES -A DENY_NETBIOS -j FW_PROWLER
$IPTABLES -A DENY_NETBIOS -j DROP
$IPTABLES -N FW_NETBIOS
$IPTABLES -A FW_NETBIOS -i eth+ -p tcp -m multiport --dports 135,137,138,139,445 -j DENY_NETBIOS
$IPTABLES -A FW_NETBIOS -i eth+ -p udp -m multiport --dports 135,137,138,139,445 -j DENY_NETBIOS
$IPTABLES -A FW_NETBIOS -o eth+ -p tcp -m multiport --sports 135,137,138,139,445 -j DENY_NETBIOS
$IPTABLES -A FW_NETBIOS -o eth+ -p udp -m multiport --sports 135,137,138,139,445 -j DENY_NETBIOS
$IPTABLES -A FW_NETBIOS -i ppp+ -p tcp -m multiport --dports 135,137,138,139,445 -j DENY_NETBIOS
$IPTABLES -A FW_NETBIOS -i ppp+ -p udp -m multiport --dports 135,137,138,139,445 -j DENY_NETBIOS
$IPTABLES -A FW_NETBIOS -o ppp+ -p tcp -m multiport --sports 135,137,138,139,445 -j DENY_NETBIOS
$IPTABLES -A FW_NETBIOS -o ppp+ -p udp -m multiport --sports 135,137,138,139,445 -j DENY_NETBIOS
$IPTABLES -A ACCEPT_FILTER -j FW_NETBIOS && echo "FIREWALL: DENY_NETBIOS ACCEPT_FILTER"
# フラグメント化されたパケットをログを記録して破棄してNG
$IPTABLES -N DENY_FRAGMENT
$IPTABLES -A DENY_FRAGMENT -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES FRAGMENT] : '
$IPTABLES -A DENY_FRAGMENT -j FW_PROWLER
$IPTABLES -A DENY_FRAGMENT -j DROP
$IPTABLES -N FW_FRAGMENT
$IPTABLES -A FW_FRAGMENT -f -j DENY_FRAGMENT
$IPTABLES -A ACCEPT_FILTER -j FW_FRAGMENT && echo "FIREWALL: DENY_FRAGMENT ACCEPT_FILTER"
# 不正なパケットをログを記録して破棄してNG
$IPTABLES -N DENY_INVALID
$IPTABLES -A DENY_INVALID -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES INVALID] : '
$IPTABLES -A DENY_INVALID -j DROP
$IPTABLES -N FW_INVALID
$IPTABLES -A FW_INVALID -m state --state INVALID -j DENY_INVALID
$IPTABLES -A ACCEPT_FILTER -j FW_INVALID && echo "FIREWALL: DENY_INVALID ACCEPT_FILTER"
# フラグの不正なパケットを破棄、16分間に3回を超えたらログを記録してNG
# ※ステルススキャン対策
# ※既知のポートはもともと隠密性がないため保護せず誤作動の回避を優先
# ※SSHの終了処理をしないで切断されると簡単に自爆するので注意
# ※FW_PORTSCANとFW_SPYが機能しているうちは有効にする必要性は低い
# ※フラグパターンの妥当性未検証
# ※公開サーバーでは無効にしてよい
$IPTABLES -N ANTI_STEALTHSCAN
$IPTABLES -A ANTI_STEALTHSCAN \
-m hashlimit \
--hashlimit-name scan \
--hashlimit 1/h \
--hashlimit-burst 3 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 960000 \
-j DROP
$IPTABLES -A ANTI_STEALTHSCAN -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES STEALTHSCAN] : '
$IPTABLES -A ANTI_STEALTHSCAN -j FW_PROWLER
$IPTABLES -A ANTI_STEALTHSCAN -j DROP
$IPTABLES -N FW_STEALTHSCAN
$IPTABLES -A FW_STEALTHSCAN -o lo -j RETURN
$IPTABLES -A FW_STEALTHSCAN -o eth+ -j RETURN
$IPTABLES -A FW_STEALTHSCAN -o ppp+ -j RETURN
$IPTABLES -A FW_STEALTHSCAN ! -p tcp -j RETURN
$IPTABLES -A FW_STEALTHSCAN -p tcp --dport 0:1023 -j RETURN
$IPTABLES -A FW_STEALTHSCAN -p tcp -m state ! --state NEW -j RETURN
# SYN + ACK when NEW
$IPTABLES -A FW_STEALTHSCAN -p tcp -m state --state NEW --tcp-flags SYN,ACK SYN,ACK -j ANTI_STEALTHSCAN
# FIN/PSH/URG without ACK
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags ACK,FIN FIN -j ANTI_STEALTHSCAN
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags ACK,PSH PSH -j ANTI_STEALTHSCAN
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags ACK,URG URG -j ANTI_STEALTHSCAN
# SYN + FIN
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags SYN,FIN SYN,FIN -j ANTI_STEALTHSCAN
# SYN + RST
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags SYN,RST SYN,RST -j ANTI_STEALTHSCAN
# FIN + RST
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags FIN,RST FIN,RST -j ANTI_STEALTHSCAN
# ALL
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags ALL ALL -j ANTI_STEALTHSCAN
# nmap Null scans / no flags
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags ALL NONE -j ANTI_STEALTHSCAN
# nmap FIN stealth scan
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags ALL FIN -j ANTI_STEALTHSCAN
# FIN + URG + PSH
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags ALL FIN,PSH,URG -j ANTI_STEALTHSCAN
# XMAS
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j ANTI_STEALTHSCAN
$IPTABLES -A FW_STEALTHSCAN -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG,PSH -j ANTI_STEALTHSCAN
$IPTABLES -A ACCEPT_FILTER -j FW_STEALTHSCAN && echo "FIREWALL: ANTI_STEALTHSCAN ACCEPT_FILTER"
# pingは1秒間に4回を超えたらログを記録して破棄してNG
# ※Ping of Death攻撃対策
$IPTABLES -N ANTI_PINGDEATH
$IPTABLES -A ANTI_PINGDEATH \
-m hashlimit \
--hashlimit-name scan \
--hashlimit 1/s \
--hashlimit-burst 4 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 1000 \
-j RETURN
$IPTABLES -A ANTI_PINGDEATH -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES PINGDEATH] : '
$IPTABLES -A ANTI_PINGDEATH -j FW_PROWLER
$IPTABLES -A ANTI_PINGDEATH -j DROP
$IPTABLES -N FW_PINGDEATH
$IPTABLES -A FW_PINGDEATH -i eth+ -p icmp --icmp-type echo-request -j ANTI_PINGDEATH
$IPTABLES -A FW_PINGDEATH -i ppp+ -p icmp --icmp-type echo-request -j ANTI_PINGDEATH
$IPTABLES -A ACCEPT_FILTER -j FW_PINGDEATH && echo "FIREWALL: ANTI_PINGDEATH ACCEPT_FILTER"
# 過大なアクセスをIP単位で制限
# ※SYN Flood攻撃対策(数値は適宜調整)
#
# -m hashlimit :hashlimitモジュールを利用
# --hashlimit-name name :ハッシュテーブル名
# --hashlimit n :パケット回復量
# --hashlimit-burst n :パケット容量
# --hashlimit-mode hash :同一アクセスとしてカウントする識別基準
# --hashlimit-htable-expire ms :ハッシュテーブル内のレコードの有効期間(単位:ミリ秒)
#
# HTTPポートへの過大なアクセスを拒否
$IPTABLES -N ANTI_SYNFLOOD
$IPTABLES -A ANTI_SYNFLOOD \
-m hashlimit \
--hashlimit-name http \
--hashlimit 10/m \
--hashlimit-burst 60 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 60000 \
-j RETURN
$IPTABLES -A ANTI_SYNFLOOD -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES SYNFLOOD] : '
$IPTABLES -A ANTI_SYNFLOOD -j DROP
$IPTABLES -N FW_SYNFLOOD
$IPTABLES -A FW_SYNFLOOD -i eth+ -p tcp --dport 80 -m state --state NEW -j ANTI_SYNFLOOD
$IPTABLES -A FW_SYNFLOOD -i ppp+ -p tcp --dport 80 -m state --state NEW -j ANTI_SYNFLOOD
$IPTABLES -A ACCEPT_FILTER -j FW_SYNFLOOD && echo "FIREWALL: ANTI_SYNFLOOD ACCEPT_FILTER[TCP:80]"
#
# HTTPSポートへの過大なアクセスを拒否
$IPTABLES -N ANTI_SYNFLOOD_SSL
$IPTABLES -A ANTI_SYNFLOOD_SSL \
-m hashlimit \
--hashlimit-name https \
--hashlimit 30/m \
--hashlimit-burst 60 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 60000 \
-j RETURN
$IPTABLES -A ANTI_SYNFLOOD_SSL -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES SYNFLOOD(SSL)] : '
$IPTABLES -A ANTI_SYNFLOOD_SSL -j DROP
$IPTABLES -N FW_SYNFLOOD_SSL
$IPTABLES -A FW_SYNFLOOD_SSL -i eth+ -p tcp --dport 443 -m state --state NEW -j ANTI_SYNFLOOD_SSL
$IPTABLES -A FW_SYNFLOOD_SSL -i ppp+ -p tcp --dport 443 -m state --state NEW -j ANTI_SYNFLOOD_SSL
$IPTABLES -A ACCEPT_FILTER -j FW_SYNFLOOD_SSL && echo "FIREWALL: ANTI_SYNFLOOD_SSL ACCEPT_FILTER[TCP:443]"
#
# UDPによる過大なアクセスを拒否
$IPTABLES -N ANTI_UDPFLOOD
$IPTABLES -A ANTI_UDPFLOOD \
-m hashlimit \
--hashlimit-name udp \
--hashlimit 30/m \
--hashlimit-burst 60 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 60000 \
-j RETURN
$IPTABLES -A ANTI_UDPFLOOD -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES UDPFLOOD] : '
$IPTABLES -A ANTI_UDPFLOOD -j DROP
$IPTABLES -N FW_UDPFLOOD
$IPTABLES -A FW_UDPFLOOD -i eth+ -p udp -m state --state NEW -j ANTI_UDPFLOOD
$IPTABLES -A FW_UDPFLOOD -i ppp+ -p udp -m state --state NEW -j ANTI_UDPFLOOD
$IPTABLES -A ACCEPT_FILTER -j FW_UDPFLOOD && echo "FIREWALL: ANTI_UDPFLOOD ACCEPT_FILTER[UDP]"
#
# ICMPによる過大なアクセスを拒否
$IPTABLES -N ANTI_ICMPFLOOD
$IPTABLES -A ANTI_ICMPFLOOD \
-m hashlimit \
--hashlimit-name icmp \
--hashlimit 30/m \
--hashlimit-burst 60 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 60000 \
-j RETURN
$IPTABLES -A ANTI_ICMPFLOOD -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES ICMPFLOOD] : '
$IPTABLES -A ANTI_ICMPFLOOD -j DROP
$IPTABLES -N FW_ICMPFLOOD
$IPTABLES -A FW_ICMPFLOOD -i eth+ -p icmp --icmp-type echo-request -j ANTI_ICMPFLOOD
$IPTABLES -A FW_ICMPFLOOD -i ppp+ -p icmp --icmp-type echo-request -j ANTI_ICMPFLOOD
$IPTABLES -A ACCEPT_FILTER -j FW_ICMPFLOOD && echo "FIREWALL: ANTI_ICMPFLOOD ACCEPT_FILTER[ICMP]"
# 管理用ポートへ3分間に10回を超えて接続試行しているIPを拒否してNG
# ※Brute Force攻撃対策
$IPTABLES -N ANTI_BRUTEFORCE
$IPTABLES -A ANTI_BRUTEFORCE \
-m hashlimit \
--hashlimit-name bruteforce \
--hashlimit 1/m \
--hashlimit-burst 7 \
--hashlimit-mode srcip \
--hashlimit-htable-expire 180000 \
-j RETURN
$IPTABLES -A ANTI_BRUTEFORCE -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES BRUTEFORCE] : '
$IPTABLES -A ANTI_BRUTEFORCE -j DROP
$IPTABLES -N FW_BRUTEFORCE
$IPTABLES -A FW_BRUTEFORCE -i eth+ -p tcp -m multiport --dports $LOGIN -m state --syn --state NEW -j ANTI_BRUTEFORCE
$IPTABLES -A FW_BRUTEFORCE -i ppp+ -p tcp -m multiport --dports $LOGIN -m state --syn --state NEW -j ANTI_BRUTEFORCE
$IPTABLES -A ACCEPT_FILTER -j FW_BRUTEFORCE && echo "FIREWALL: ANTI_BRUTEFORCE ACCEPT_FILTER[TCP]"
#----------------------------------------------------------#
# BLACKLIST/WHITELIST #
#----------------------------------------------------------#
# ブラックリストに一致するIPをDROPする
if [ $BLACKLIST ] && [ -s $BLACKLIST ]; then
$IPTABLES -N BLACKLIST 2>/dev/null
for line in `cat $BLACKLIST | grep ^[0-9]`
do
$IPTABLES -A BLACKLIST -s $line -j DROP
done
$IPTABLES -A INPUT -j BLACKLIST
$IPTABLES -A FORWARD -j BLACKLIST
$IPTABLES -A OUTPUT -j BLACKLIST
fi
# ホワイトリストに一致しないIPをDROPする
if [ $WHITELIST ] && [ -s $WHITELIST ]; then
$IPTABLES -N WHITELIST 2>/dev/null
for line in `cat $WHITELIST | grep ^[0-9]`
do
$IPTABLES -A WHITELIST -s $line -j RETURN
done
$IPTABLES -I BLACKLIST -g WHITELIST 2>/dev/null
$IPTABLES -I DROP_FILTER -g WHITELIST
if [ $STRICT = true ]; then
$IPTABLES -A WHITELIST -j DROP
$IPTABLES -A INPUT -j WHITELIST
$IPTABLES -A FORWARD -j WHITELIST
$IPTABLES -A OUTPUT -j WHITELIST
fi
fi
#----------------------------------------------------------#
# IDS/IPS #
#----------------------------------------------------------#
$IPTABLES -D ACCEPT_FILTER 1
if [ $IPS = Snort ]; then
# ICMPパケットをすべて解析
$IPTABLES -A ACCEPT_FILTER -p icmp -j NFQUEUE --queue-num 2
# UDPパケットをすべて解析
$IPTABLES -A ACCEPT_FILTER -p udp -j NFQUEUE --queue-num 2
# TCPパケットを外部通信分のみ解析
$IPTABLES -A ACCEPT_FILTER -i eth+ -p tcp -j NFQUEUE --queue-num 2
$IPTABLES -A ACCEPT_FILTER -i ppp+ -p tcp -j NFQUEUE --queue-num 2
$IPTABLES -A ACCEPT_FILTER -o eth+ -p tcp -j NFQUEUE --queue-num 2
$IPTABLES -A ACCEPT_FILTER -o ppp+ -p tcp -j NFQUEUE --queue-num 2
# バックエンドサーバーとの内部通信パケットを解析
$IPTABLES -A ACCEPT_FILTER -i lo -p tcp --dport 9000 -j NFQUEUE --queue-num 2
$IPTABLES -A ACCEPT_FILTER -o lo -p tcp --dport 9000 -j NFQUEUE --queue-num 2
# 解析しないパケットはすべて許可
$IPTABLES -A ACCEPT_FILTER -j ACCEPT
echo "IDS/IPS: Snort"
else
$IPTABLES -A ACCEPT_FILTER -j ACCEPT
echo "IDS/IPS: DISABLE"
fi
#----------------------------------------------------------#
# Port #
#----------------------------------------------------------#
# 最小限のICMPのみ許可
$IPTABLES -A INPUT -p icmp --icmp-type destination-unreachable -j COUNTRY_FILTER
$IPTABLES -A INPUT -p icmp --icmp-type source-quench -j COUNTRY_FILTER
$IPTABLES -A INPUT -p icmp --icmp-type redirect -j COUNTRY_FILTER
$IPTABLES -A INPUT -p icmp --icmp-type time-exceeded -j COUNTRY_FILTER
$IPTABLES -A INPUT -p icmp --icmp-type parameter-problem -j COUNTRY_FILTER
# 管理用ポート(SSH等)を開放
$IPTABLES -A INPUT -p tcp -m multiport --dports $LOGIN -j COUNTRY_FILTER
# SNMP[UDP:160,161]ポートを開放
#$IPTABLES -A INPUT -p udp --dport 160 -j COUNTRY_FILTER && echo "OPEN: SNMP[UDP:160]"
#$IPTABLES -A INPUT -p udp --dport 161 -j COUNTRY_FILTER && echo "OPEN: SNMP[UDP:161]"
# DNS[TCP/UDP:53]ポートを開放
#$IPTABLES -A INPUT -p tcp --dport 53 -j COUNTRY_FILTER && echo "OPEN: DNS[TCP:53]"
#$IPTABLES -A INPUT -p udp --dport 53 -j COUNTRY_FILTER && echo "OPEN: DNS[UDP:53]"
# HTTP[TCP:80]ポートを開放
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT_FILTER && echo "OPEN: HTTP[TCP:80]"
# HTTPS[TCP:443]ポートを開放
$IPTABLES -A INPUT -p tcp --dport 443 -j COUNTRY_FILTER && echo "OPEN: HTTPS[TCP:443]"
# FTP[TCP:21]ポートを開放
#$IPTABLES -A INPUT -p tcp --dport 21 -j COUNTRY_FILTER
# PASV(FTP-DATA)ポートを開放 ※PASV用ポート60000:60030は設定例
#$IPTABLES -A INPUT -p tcp --dport 60000:60030 -j COUNTRY_FILTER && echo "OPEN: PASV[TCP:60000-60030]"
# IDENT[TCP:113]ポートを開放
# ※IDENTを使用せずメールサーバーを公開する場合はメールサーバ等のレスポンス低下防止のため拒否応答
#$IPTABLES -A INPUT -p tcp --dport 113 -j COUNTRY_FILTER && echo "OPEN: IDENT[TCP:113]"
#$IPTABLES -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset && echo "REJECT: IDENT[TCP:113]"
# SMTP[TCP:25]ポートを開放
#$IPTABLES -A INPUT -p tcp --dport 25 -j COUNTRY_FILTER && echo "OPEN: SMTP[TCP:25]"
# SMTPS[TCP:465]ポートを開放
#$IPTABLES -A INPUT -p tcp --dport 465 -j COUNTRY_FILTER && echo "OPEN: SMTPS[TCP:465]"
# POP3[TCP:110]ポートを開放
#$IPTABLES -A INPUT -p tcp --dport 110 -j COUNTRY_FILTER && echo "OPEN: POP3[TCP:110]"
# POP3S[TCP:995]ポートを開放
#$IPTABLES -A INPUT -p tcp --dport 995 -j COUNTRY_FILTER && echo "OPEN: POP3S[TCP:995]"
# IMAP[TCP:143]ポートを開放
#$IPTABLES -A INPUT -p tcp --dport 143 -j COUNTRY_FILTER && echo "OPEN: IMAP[TCP:143]"
# IMAPS[TCP:993]ポートを開放
#$IPTABLES -A INPUT -p tcp --dport 993 -j COUNTRY_FILTER && echo "OPEN: IMAPS[TCP:993]"
# OpenVPN[UDP:1194]ポートを開放
#$IPTABLES -A INPUT -p udp --dport 1194 -j COUNTRY_FILTER && echo "OPEN: OpenVPN[UDP:1194]"
# IPsec[TCP/UDP:50,51]ポートを開放
#$IPTABLES -A INPUT -p 50 -j COUNTRY_FILTER && echo "OPEN: IPsec[TCP/UDP:50]"
#$IPTABLES -A INPUT -p 51 -j COUNTRY_FILTER && echo "OPEN: IPsec[TCP/UDP:51]"
# Submission[TCP:587]ポートを開放
#$IPTABLES -A INPUT -p tcp --dport 587 -j COUNTRY_FILTER && echo "OPEN: Submission[TCP:587]"
# VPNインタフェース用ファイアウォール設定
#[ -f /etc/openvpn/openvpn-startup ] && /etc/openvpn/openvpn-startup
# 公開していないポートへのパケットをログを記録して破棄してNG
# ※ポートスキャン対策
# ※開けていないポートに1度でも触ったらアウト
# ※公開サーバーでは無効にしてよい
$IPTABLES -N TRAP_PORTSCAN
$IPTABLES -A TRAP_PORTSCAN -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level debug --log-prefix '[IPTABLES PORTSCAN] : '
$IPTABLES -A TRAP_PORTSCAN -j FW_PROWLER
$IPTABLES -A TRAP_PORTSCAN -j DROP
$IPTABLES -N FW_PORTSCAN
$IPTABLES -A FW_PORTSCAN -j TRAP_PORTSCAN
$IPTABLES -A INPUT -j FW_PORTSCAN && echo "FIREWALL: TRAP_PORTSCAN INPUT[TCP/UDP/ICMP]"
$IPTABLES -A FORWARD -j FW_PORTSCAN && echo "FIREWALL: TRAP_PORTSCAN FORWARD[TCP/UDP/ICMP]"
#----------------------------------------------------------#
# Finalize #
#----------------------------------------------------------#
# 設定保存(/etc/sysconfig/iptablesの既存の設定は削除)
service iptables save
sysctl -p 2>&1 | grep -v -E "^error:.*(ipv6|bridge-nf-call)"
service rsyslog restart
echo completeま
どこまでやるかだけど、ポリシー次第かな。