Tech Racho エンジニアの「?」を「!」に。
  • インフラ

iptablesで鉄壁?の守りを実現する3つのTips

iptablesでサーバを守るときに知っておくと良いことを3つ紹介します

1. 接続回数を制限する(IPアドレスごと)

hash_limitを使います
これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です

2. 接続回数を制限する(サービスごと)

limitを使って制限します
これにより多数のホストからの攻撃、DDoS攻撃を緩和します
limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。
(攻撃を受けている間は自分たちも制限されるため)
Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか?

3. 接続IPアドレスを限定する

IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります
この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります

あとはこんな感じのスクリプトを用意して
iptables.pl

rootでこんな感じのコマンドを打てばIP制限チェインの出来上がりです

# wget http://ftp.apnic.net/stats/apnic/delegated-apnic-latest \
-O - | ./iptables.pl ACCEPT_IP | bash

細かいパラメータや、IPアドレスについては各自調整してみて下さい


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。