HOME | Raspberry Pi | ビジネス書籍紹介 | 2026-01-04 (Sun) Today's Access : 259 Total : 1260957. Since 10 Sep. 2019

ラズパイで作る自宅WEBサーバ構築
第10回 ファイアーウォール(iptables) 設定 2019.11.24

今回はファイアーウォールの設定です。
YouTube 動画でポイントを説明しています。上記画像をクリックすると再生できます。
サーバーの設定は、パソコン側のSSHクライアントソフトを利用して行っています。

サーバー構成図で示すように、ブロードバンドルーターの内側にサーバーを設置しているので、ブロードバンドルータ側で必要なポートのみを解放すれば 済んでしまうのですが、内側のラズパイでもファイアウォールを設置して二重化しています。



セキュリティ関連の無効化 
$ dpkg --get-selections | grep selinux
libselinux1:arm64  install ← SELinux ランタイム共有ライブラリ

$ dpkg --get-selections | grep apparmor
apparmor                install
libapparmor1:arm64      install
SELinux(Security Enhanced Linux)はライブラリのみがインストールされています。
AppArmor (Application Armor/アプリケーションアーマー) は、アプリケーションのシステムアクセスを制限するセキュリティツールです。 ネットワークアクセス、ファイルへの読み書き実行などの機能を制限することができます。
AppArmorの状態を表示してみます。
$ sudo aa-status
apparmor module is loaded.
17 profiles are loaded.
17 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/lxc-start
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/mysqld
   /usr/sbin/named
   /usr/sbin/tcpdump
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   man_filter
   man_groff
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/mysqld (1382)
   /usr/sbin/named (1329)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
※Enforce mode:プロファイルが許可しない動作をブロック
※Complain mode:プロファイルが許可しない動作をブロックせずにログを残す

MySQLなどの実行にも影響を与えていないのですが、外部にはSSHを通していないので、無効にしてしまいます。
$ sudo service apparmor stop

ufw(Uncomplicated FireWall)は、ファイアウォールの設定を行うコマンドですが、iptablesのラッパーなので無効化しておきます。
$ sudo ufw disable

既存設定の確認
$ sudo /sbin/iptables -L
Chain INPUT (policy ACCEPT) 
target     prot opt source               destination 
Chain FORWARD (policy ACCEPT) 
target     prot opt source               destination 
Chain OUTPUT (policy ACCEPT) 
target     prot opt source               destination 
何も設定されていないので、すべてのポートがACCEPTになっています。
iptables 設定用スクリプト(iptables.sh)の作成

iptablesはコマンドなので、実行しなければ有効となりませんが、サーバを起動する度に細かい設定をするのは面倒です。 シェルスクリプトを用意して、起動時に実行するようにします。
iptables コマンドをリモートで直接実行する場合は要注意です。間違えるとポートが塞がって回線が切断されてしまいます。
$ mkdir /home/ubuntu/scripts
$ cd /home/ubuntu/scripts
$ vi iptables.sh
#!/bin/bash

iptables -F           ← 設定をクリア(chainのルールをすべて削除)
iptables -X           ← ユーザー定義チェインを削除

iptables -P INPUT   DROP    ← ポリシー設定
iptables -P FORWARD DROP
iptables -P OUTPUT  ACCEPT
 
iptables -A INPUT -p tcp --dport 22  -j ACCEPT    ← SSH
iptables -A INPUT -p tcp --dport 25  -j ACCEPT    ← SMTP
iptables -A INPUT -p tcp --dport 53  -j ACCEPT    ← DNS
iptables -A INPUT -p tcp --sport 53  -j ACCEPT
iptables -A INPUT -p udp --dport 53  -j ACCEPT
iptables -A INPUT -p udp --sport 53  -j ACCEPT

iptables -A INPUT -p tcp --dport 80  -j ACCEPT    ← WEB(http)
iptables -A INPUT -p tcp --dport 110 -j ACCEPT    ← POP
iptables -A INPUT -p udp --dport 123 -j ACCEPT    ← NTP
iptables -A INPUT -p udp --sport 123 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT    ← IMAP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT    ← WEB(https)
iptables -A INPUT -p tcp --dport 587 -j ACCEPT    ← SMTP Submission
iptables -A INPUT -i lo -j ACCEPT            ← 自端末からの入力許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
                                 ↑こちらから求めたパケットは許可する
※iptablesは上から順番にルールが適用されます。
※iptables -F:これをリモート端末から直接実行すると通信が遮断されてしまいます。
※この設定では ping は許可していません。ping を自動的に飛ばして サーバを探索して、悪意ある攻撃をされることがあるので 必要なければ解放しないほうが良いかもしれません。解放するのであれば下記を追加します。
iptables -A INPUT -p icmp -j ACCEPT
※ICMP ( Internet Control Message Protocol ) はインターネット層(OSI参照モデルのネットワーク層)で動作するプロトコルです。

また、必要に応じて下記の許可も検討してみてください。 
iptables -A INPUT -p tcp --dport 20  -j ACCEPT  ← FTP(非推奨)
iptables -A INPUT -p tcp --dport 21  -j ACCEPT  ← FTP(非推奨)
iptables -A INPUT -p tcp --dport 465 -j ACCEPT  ← SMTPS(SMTP SSL)
iptables -A INPUT -p tcp --dport 993 -j ACCEPT  ← IMAP(SSL)
iptables -A INPUT -p tcp --dport 995 -j ACCEPT  ← POP(SSL)
スクリプトファイルのアクセス権限を設定します
$ sudo chmod 700 iptables.sh

フィルタを適応してみます
$ sudo ./iptables.sh
一旦、接続が遮断されるので、再度、SSH接続します。

設定を確認します 
$ sudo /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source      destination
ACCEPT     icmp --  anywhere    anywhere
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:ssh
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:smtp
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:domain
ACCEPT     tcp  --  anywhere    anywhere    tcp spt:domain
ACCEPT     udp  --  anywhere    anywhere    udp dpt:domain
ACCEPT     udp  --  anywhere    anywhere    udp spt:domain
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:http
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:pop3
ACCEPT     udp  --  anywhere    anywhere    udp dpt:ntp
ACCEPT     udp  --  anywhere    anywhere    udp spt:ntp
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:imap2
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:https
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:submission
ACCEPT     all  --  anywhere    anywhere
ACCEPT     all  --  anywhere    anywhere    state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
システム起動時にスクリプトが実行されるように、サービス用のファイルを設定します。 
$ sudo vi /lib/systemd/system/iptables.service
[Unit]
Description=iptables startup script

[Service]
Type=simple
ExecStart=/home/ubuntu/scripts/iptables.sh
Restart=no

[Install]
WantedBy=multi-user.target
※ファイル名は末尾が.serviceになるようにします。

サービスを有効にします
$ sudo systemctl enable iptables
Created symlink /etc/systemd/system/multi-user.target.wants/iptables.service → /lib/systemd/system/iptables.service.

有効になると、/etc/systemd/system/multi-user.target.wants 配下に iptables.service のシンボリックリンクが作成されます

無効にする場合は $ sudo systemctl disable iptables

サービスの状態を確認します 
$ sudo systemctl list-unit-files --type=service | grep iptables
iptables.service            enabled
システムを再起動して、ステータスを確認します
$ sudo reboot
$ sudo systemctl status iptables
● iptables.service - iptables startup script
Loaded: loaded (/lib/systemd/system/iptables.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Fri 2019-07-19 18:35:48 JST; 4 months 6 days ago
Main PID: 1253 (code=exited, status=0/SUCCESS)

7月 19 18:35:45 ns.example.jp systemd[1]: Started iptables startup script.

※備考 iptables.sh で、Restart=always を指定した場合
start request repeated to quickly
のエラーになります。

解放しているポートを調べるツールを組込みます 
$ apt-cache show nmap
Package: nmap
Architecture: arm64
Version: 7.60-1ubuntu5

$ sudo apt-get -y install nmap
TCP ポートをスキャンします 
$ sudo nmap localhost
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
143/tcp  open  imap
465/tcp  open  smtps
587/tcp  open  submission
3306/tcp open  mysql
不正中継テストは下記のサービスを利用できます
http://www.abuse.net/relay.html 		Raspberry Pi(ラズベリー パイ)は、ARMプロセッサを搭載したシングルボードコンピュータ。イギリスのラズベリーパイ財団によって開発されている。
2019.10.15 第1回 前準備
2019.10.20 第2回 Ubuntu Server インストール
2019.10.27 第3回 Ubuntu Server 詳細設定
2019.10.28 番外編 無線LAN接続設定
2019.11.02 第4回 Apache WEBサーバ設定
2019.11.05 第5回 PHP 設定
2019.11.10 第6回 MySQL 設定
2019.11.11 第7回 DNS (bind) 設定
2019.11.16 第8回 メールサーバ(Postfix)設定・前編
2019.11.21 第9回 メールサーバ(Postfix)設定・後編
2019.11.24 第10回 ファイアウォール(iptables) 設定
2019.11.25 第11回 crontab 設定
2019.12.01 第12回 運用準備
2019.12.03 第13回 Windowsパソコンに開発環境を作る
2019.12.05 第14回 WEBサーバー公開
2019.12.10 第15回 動的サイト制作
2019.12.11 第16回 簡単なアクセスカウンターを作る
2020.03.04 TTGO-Camera による定点観測・WEB公開
2021.03.15 第17回 サーバ・リプレイス
2021.03.27 第18回 システム移行
2022.09.12 第19回 InnoDBトラブル

たいていのことは100日あれば、うまくいく。長田英知著
「時間がなくて、なかなか自分のやりたいことができない」 「一念発起して何かを始めても、いつも三日坊主で終わってしまう」 「色んなことを先延ばしにしたまま、時間だけが過ぎていく」 そこで本書では、そんな著者が独自に開発した、 まったく新しい目標達成メソッド「100日デザイン」について、 その知識と技術を、余すところなくご紹介します。
まんがで納得ナポレオン・ヒル 思考は現実化する
OLとして雑務をこなす日々に飽き足らず、科学者だった父が残した薬品を商品化すべく、起業を決意した内山麻由(27)。彼女はセミナーで知り合った謎の女性からサポートを得ながら、彼女と二人三脚でナポレオン・ヒルの成功哲学を実践し、さまざまな問題を乗り越えていく。 ヒル博士の<ゴールデンルール>に従い、仕事に、恋に全力疾走する彼女の、成功への物語。
今日は人生最悪で最高の日 1秒で世界を変えるたったひとつの方法 ひすいこたろう著
偉人の伝記を読むと、最悪な日は、不幸な日ではなく、新しい自分が始まる日であることがわかります。最悪な出来事は、自分の人生が、想像を超えて面白くなる兆しなのです。偉人伝を読むことで、このときの不幸があったおかげで、未来にこういう幸せがくるのかと、人生を俯瞰する視線が立ち上がるのです。
ご飯は私を裏切らない heisoku著
辛い現実から目を背けて食べるご飯は、いつも美味しく幸せを届けてくれる。 29歳、中卒、恋人いない歴イコール年齢。バイト以外の職歴もなく、短期バイトを転々とする日々。ぐるぐると思索に耽るけど、ご飯を食べると幸せになれる。奇才の新鋭・heisokuが贈るリアル労働グルメ物語!
【最新版Gemini 3に対応!】できるGemini (できるシリーズ)
Geminiを「最強の知的生産パートナー」として使いこなすための、実践的なノウハウを凝縮した一冊です。 基本的な操作方法から、具体的なビジネスシーンでの活用、日々の業務を自動化するGoogle Workspaceとの連携、さらには自分だけのオリジナルAIを作成する方法まで余すところなく解説します。
Rustプログラミング完全ガイド 他言語との比較で違いが分かる!
Rustの各手法や考え方を幅広く解説! 500以上のサンプルを掲載。実行結果も確認。 全24章の包括的なチュートリアル。
ポチらせる文章術
販売サイト・ネット広告・メルマガ・ブログ・ホームページ・SNS… 全WEB媒体で効果バツグン! カリスマコピーライターが教える「見てもらう」「買ってもらう」「共感してもらう」すべてに効くネット文章術
小型で便利な Type-C アダプター USB C オス - USB3.1 オスアダプター
Type-C端子のマイコンボードをこのアダプタを介して直接Raspberry Piに挿すことができます。ケーブルなしで便利なツールです。
Divoom Ditoo Pro ワイヤレススピーカー
15W高音質重低音/青軸キーボード/Bluetooth5.3/ピクセルアート 専用アプリ/USB接続/microSDカード
電源供給USBケーブル スリム 【5本セット】
USB電源ケーブル 5V DC電源供給ケーブル スリム 【5本セット】 電源供給 バッテリー 修理 自作 DIY 電子工作 (100cm)

Copyright © 2011-2027 Sarako Tsukiyono All rights reserved®.