netfillterの初期化。
#!/bin/bash
IPTABLES=/sbin/iptables
modprobe ip_tables
modprobe ip_conntrack_ftp
#現在のルールとカスタムテーブルを消しちゃう
$IPTABLES --flush
$IPTABLES --delete-chain
#暗黙のデナイさん参上
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
IPTABLES=/sbin/iptables
modprobe ip_tables
modprobe ip_conntrack_ftp
#現在のルールとカスタムテーブルを消しちゃう
$IPTABLES --flush
$IPTABLES --delete-chain
#暗黙のデナイさん参上
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
ip_conntrack_ftpモジュールは
passiveFTPのルールをきれいに書くことができる。
デフォルトではALL ACCEPTに設定されている事が多いです。
Linuxの使い方や状況によってDROPを設定してやろう。
やはりiptablesの設定等はシェルスクリプトにしちゃって、
1コマンドで正常な設定に戻せるようにしておくべきだ。
0 件のコメント:
コメントを投稿