iptable

FrontPage

インストール †

aptitude install iptables

設定 †

基本設定 †

基本設定はchibiegg日誌と同じようにしてみた。

iptable使う前にどのポートが、どのサービスとして起動しているかどうかをみるにはnmap使うと便利

nmap -sS 192.168.0.2

(自分の内部IPだとよいかも）

MySQL master/NFSのサーバの場合 †

想定構成

Web01 -----
           |--- DB/NFS
Web02 -----

開けざるを得ないポート達

• NFS:portmapper(111), nfsd(2049), statd(決めうち:2050), mountd(決めうち:2052), lockd(決めうち:2053)※以下で固定する
• SSH:sshd(22)
• NAGIOS: nagios-plugin(5666)

1. iptablesをDB/NFSサーバにインストールする
2. [DB-NFS]取り合えず現状を見てみる

   iptables -L ↓多分こんなのが出力されると思う
   Chain INPUT (policy ACCEPT)
   target     prot opt source               destination
   
   Chain FORWARD (policy ACCEPT)
   target     prot opt source               destination
   
   Chain OUTPUT (policy ACCEPT)
   target     prot opt source               destination

3. [Web01/Web02]でNFSしているmount pointを解除する

   umount -a

   上記で駄目だったら

   umount -l マウントされている場所を絶対パスで(例: /var/www/mountfs)

4. NFSのポートを固定する
   NFSはポート指定されていないらしいので、固定する。ポートは主要な物にはバッティングしなければ何でもいい気がする

   ※Web01/Web02/DB-NFSで行う※

   /etc/default/nfs-common

   STATDOPTS=
       ↓
   STATDOPTS="--port 2050 --outgoing-port 2051"
   ※上記ポートは別の物にする事

   /etc/default/nfs-kernel-server

   RPCMOUNTDOPTS=
       ↓
   RPCMOUNTDOPTS="-p 2052"

   /etc/modprobe.d/local.conf(多分ファイルがないので新規に作成)

   options lockd nlm_udpport=2053 nlm_tcpport=2053

5. [DB-NFS]rebootする
   soft rebootでok。再起動させないとlockdの変更が反映されない
6. [DB-NFS]のnfs-kernel-serverを再起動させる

   /etc/init.d/nfs-kernel-server restart

7. [DB-NFS]sshを許可する

   iptables -A INPUT -p tcp --dport 22 -j ACCEPT

8. [DB-NFS]でMySQL接続を許可する

   iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
   DBがmaster<-->slaveとreplicationをしていても、3306ポートになる。別のポートに死体場合は、Slave側の/etc/mysql/my.confの
   master-port		= 3306

   を変更する
9. [DB-NFS]でNFS接続許可をする

   iptables -A INPUT -p tcp --dport 2049:2053 -j ACCEPT
   iptables -A INPUT -p udp --dport 2049:2053 -j ACCEPT

10. [DB-NFS]でportmap許可をする

    iptables -A INPUT -p tcp --dport 111 -j ACCEPT
    iptables -A INPUT -p udp --dport 111 -j ACCEPT

11. [DB-NFS]でNagios接続許可をする

    iptables -A INPUT -p tcp --dport 5666 -j ACCEPT

12. [DB-NFS]内部から接続を確立したコネクションは許可する

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    ※これを追加しないとaptitude updateやDNS名引きが出来ない-->結果SSH接続が遅くなったりする

13. [Web01/Web02]マウントする

    mount -av
    接続されたmount pointが表示される

その他設定 †

エラー対処法 †

参考URL †

• http://blue0318.blogspot.com/2009/06/debianiptables.html
• http://toyholic.com/node/892
• http://blog.chibiegg.net/2007/11/17_00_62.htm