HOME | Raspberry Pi | ビジネス書籍紹介 | 2024-11-22 (Fri) Today's Access : 225 Total : 1098305. Since 10 Sep. 2019

ラズパイで作る自宅WEBサーバ構築
第10回 ファイアーウォール(iptables) 設定 2019.11.24

今回はファイアーウォールの設定です。
YouTube 動画でポイントを説明しています。上記画像をクリックすると再生できます。
サーバーの設定は、パソコン側のSSHクライアントソフトを利用して行っています。

サーバー構成図で示すように、ブロードバンドルーターの内側にサーバーを設置しているので、ブロードバンドルータ側で必要なポートのみを解放すれば 済んでしまうのですが、内側のラズパイでもファイアウォールを設置して二重化しています。



セキュリティ関連の無効化 
$ dpkg --get-selections | grep selinux
libselinux1:arm64  install ← SELinux ランタイム共有ライブラリ

$ dpkg --get-selections | grep apparmor
apparmor                install
libapparmor1:arm64      install
SELinux(Security Enhanced Linux)はライブラリのみがインストールされています。
AppArmor (Application Armor/アプリケーションアーマー) は、アプリケーションのシステムアクセスを制限するセキュリティツールです。 ネットワークアクセス、ファイルへの読み書き実行などの機能を制限することができます。
AppArmorの状態を表示してみます。
$ sudo aa-status
apparmor module is loaded.
17 profiles are loaded.
17 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/lxc-start
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/mysqld
   /usr/sbin/named
   /usr/sbin/tcpdump
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   man_filter
   man_groff
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/mysqld (1382)
   /usr/sbin/named (1329)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
※Enforce mode:プロファイルが許可しない動作をブロック
※Complain mode:プロファイルが許可しない動作をブロックせずにログを残す

MySQLなどの実行にも影響を与えていないのですが、外部にはSSHを通していないので、無効にしてしまいます。
$ sudo service apparmor stop

ufw(Uncomplicated FireWall)は、ファイアウォールの設定を行うコマンドですが、iptablesのラッパーなので無効化しておきます。
$ sudo ufw disable

既存設定の確認
$ sudo /sbin/iptables -L
Chain INPUT (policy ACCEPT) 
target     prot opt source               destination 
Chain FORWARD (policy ACCEPT) 
target     prot opt source               destination 
Chain OUTPUT (policy ACCEPT) 
target     prot opt source               destination 
何も設定されていないので、すべてのポートがACCEPTになっています。
iptables 設定用スクリプト(iptables.sh)の作成

iptablesはコマンドなので、実行しなければ有効となりませんが、サーバを起動する度に細かい設定をするのは面倒です。 シェルスクリプトを用意して、起動時に実行するようにします。
iptables コマンドをリモートで直接実行する場合は要注意です。間違えるとポートが塞がって回線が切断されてしまいます。
$ mkdir /home/ubuntu/scripts
$ cd /home/ubuntu/scripts
$ vi iptables.sh
#!/bin/bash

iptables -F           ← 設定をクリア(chainのルールをすべて削除)
iptables -X           ← ユーザー定義チェインを削除

iptables -P INPUT   DROP    ← ポリシー設定
iptables -P FORWARD DROP
iptables -P OUTPUT  ACCEPT
 
iptables -A INPUT -p tcp --dport 22  -j ACCEPT    ← SSH
iptables -A INPUT -p tcp --dport 25  -j ACCEPT    ← SMTP
iptables -A INPUT -p tcp --dport 53  -j ACCEPT    ← DNS
iptables -A INPUT -p tcp --sport 53  -j ACCEPT
iptables -A INPUT -p udp --dport 53  -j ACCEPT
iptables -A INPUT -p udp --sport 53  -j ACCEPT

iptables -A INPUT -p tcp --dport 80  -j ACCEPT    ← WEB(http)
iptables -A INPUT -p tcp --dport 110 -j ACCEPT    ← POP
iptables -A INPUT -p udp --dport 123 -j ACCEPT    ← NTP
iptables -A INPUT -p udp --sport 123 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT    ← IMAP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT    ← WEB(https)
iptables -A INPUT -p tcp --dport 587 -j ACCEPT    ← SMTP Submission
iptables -A INPUT -i lo -j ACCEPT            ← 自端末からの入力許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
                                 ↑こちらから求めたパケットは許可する
※iptablesは上から順番にルールが適用されます。
※iptables -F:これをリモート端末から直接実行すると通信が遮断されてしまいます。
※この設定では ping は許可していません。ping を自動的に飛ばして サーバを探索して、悪意ある攻撃をされることがあるので 必要なければ解放しないほうが良いかもしれません。解放するのであれば下記を追加します。
iptables -A INPUT -p icmp -j ACCEPT
※ICMP ( Internet Control Message Protocol ) はインターネット層(OSI参照モデルのネットワーク層)で動作するプロトコルです。

また、必要に応じて下記の許可も検討してみてください。 
iptables -A INPUT -p tcp --dport 20  -j ACCEPT  ← FTP(非推奨)
iptables -A INPUT -p tcp --dport 21  -j ACCEPT  ← FTP(非推奨)
iptables -A INPUT -p tcp --dport 465 -j ACCEPT  ← SMTPS(SMTP SSL)
iptables -A INPUT -p tcp --dport 993 -j ACCEPT  ← IMAP(SSL)
iptables -A INPUT -p tcp --dport 995 -j ACCEPT  ← POP(SSL)
スクリプトファイルのアクセス権限を設定します
$ sudo chmod 700 iptables.sh

フィルタを適応してみます
$ sudo ./iptables.sh
一旦、接続が遮断されるので、再度、SSH接続します。

設定を確認します 
$ sudo /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source      destination
ACCEPT     icmp --  anywhere    anywhere
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:ssh
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:smtp
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:domain
ACCEPT     tcp  --  anywhere    anywhere    tcp spt:domain
ACCEPT     udp  --  anywhere    anywhere    udp dpt:domain
ACCEPT     udp  --  anywhere    anywhere    udp spt:domain
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:http
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:pop3
ACCEPT     udp  --  anywhere    anywhere    udp dpt:ntp
ACCEPT     udp  --  anywhere    anywhere    udp spt:ntp
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:imap2
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:https
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:submission
ACCEPT     all  --  anywhere    anywhere
ACCEPT     all  --  anywhere    anywhere    state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
システム起動時にスクリプトが実行されるように、サービス用のファイルを設定します。 
$ sudo vi /lib/systemd/system/iptables.service
[Unit]
Description=iptables startup script

[Service]
Type=simple
ExecStart=/home/ubuntu/scripts/iptables.sh
Restart=no

[Install]
WantedBy=multi-user.target
※ファイル名は末尾が.serviceになるようにします。

サービスを有効にします
$ sudo systemctl enable iptables
Created symlink /etc/systemd/system/multi-user.target.wants/iptables.service → /lib/systemd/system/iptables.service.

有効になると、/etc/systemd/system/multi-user.target.wants 配下に iptables.service のシンボリックリンクが作成されます

無効にする場合は $ sudo systemctl disable iptables

サービスの状態を確認します 
$ sudo systemctl list-unit-files --type=service | grep iptables
iptables.service            enabled
システムを再起動して、ステータスを確認します
$ sudo reboot
$ sudo systemctl status iptables
● iptables.service - iptables startup script
Loaded: loaded (/lib/systemd/system/iptables.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Fri 2019-07-19 18:35:48 JST; 4 months 6 days ago
Main PID: 1253 (code=exited, status=0/SUCCESS)

7月 19 18:35:45 ns.example.jp systemd[1]: Started iptables startup script.

※備考 iptables.sh で、Restart=always を指定した場合
start request repeated to quickly
のエラーになります。

解放しているポートを調べるツールを組込みます 
$ apt-cache show nmap
Package: nmap
Architecture: arm64
Version: 7.60-1ubuntu5

$ sudo apt-get -y install nmap
TCP ポートをスキャンします 
$ sudo nmap localhost
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
143/tcp  open  imap
465/tcp  open  smtps
587/tcp  open  submission
3306/tcp open  mysql
不正中継テストは下記のサービスを利用できます
http://www.abuse.net/relay.html 		 Raspberry Pi(ラズベリー パイ)は、ARMプロセッサを搭載したシングルボードコンピュータ。イギリスのラズベリーパイ財団によって開発されている。
2019.10.15 第1回 前準備
2019.10.20 第2回 Ubuntu Server インストール
2019.10.27 第3回 Ubuntu Server 詳細設定
2019.10.28 番外編 無線LAN接続設定
2019.11.02 第4回 Apache WEBサーバ設定
2019.11.05 第5回 PHP 設定
2019.11.10 第6回 MySQL 設定
2019.11.11 第7回 DNS (bind) 設定
2019.11.16 第8回 メールサーバ(Postfix)設定・前編
2019.11.21 第9回 メールサーバ(Postfix)設定・後編
2019.11.24 第10回 ファイアウォール(iptables) 設定
2019.11.25 第11回 crontab 設定
2019.12.01 第12回 運用準備
2023.08.16 第13回 Windowsパソコンに開発環境を作る(2023年版)
2019.12.05 第14回 WEBサーバー公開
2019.12.10 第15回 動的サイト制作
2019.12.11 第16回 簡単なアクセスカウンターを作る
2020.03.04 TTGO-Camera による定点観測・WEB公開
2021.03.15 第17回 サーバ・リプレイス
2021.03.27 第18回 システム移行
2022.09.12 第19回 InnoDBトラブル


Arduinoで学ぶ組込みシステム入門(第2版)
●Arduinoを使って組込みシステム開発を理解する
・ハードウェアやソフトウェアなどの基礎知識/ ・設計から実装までを系統的に説明するモデルベース開発/ ・Arduinoを用いた実際の開発例
最新 使える! MATLAB 第3版
◆◆すぐに「使える!」 全ページフルカラー!◆◆
・MATLAB R2022bに対応し、解説もより詳しく!/ ・コマンド・スクリプトの例が豊富で、動かして学べる!/ ・超基本から解説。これから使いはじめる人にぴったり!/ ・全編フルカラー、スクリーンショットも豊富!
Amazon Web Services基礎からのネットワーク&サーバー構築改訂4版
1.システム構築をインフラから始めるには/ 2.ネットワークを構築する/ 3.サーバーを構築する/ 4.Webサーバーソフトをインストールする/ 5.HTTPの動きを確認する/ 6.プライベートサブネットを構築する/ 7.NATを構築する/ 8.DBを用いたブログシステムの構築/ 9.TCP/IPによる通信の仕組みを理解する
C言語は第二の母国語: 独学学生時代から企業内IT職人時代に培った、独立のための技術とノウハウ 平田豊著
学生時代から独学でプログラミングをはじめ、企業内でデバイスドライバを開発し、そして独立後もたくさんのアプリケーション開発や技術書制作に携わってきた著者。その筆者が大事に使い続ける「C言語」の“昔と今”について、気づいたことや役立つ知識、使ってきたツールなどについて、これまで記してきたことを整理してまとめました。 本書では、現役プログラマーだけでなく、これからプログラミングを学ぶ学生などにも有益な情報やノウハウを、筆者の経験を元に紹介しています。
1冊ですべて身につくJavaScript入門講座
・最初の一歩が踏み出せる! 初心者に寄り添うやさしい解説 ・最新の技術が身につく! 今のJavaScriptの書き方・使い方 ・絶対に知っておきたい! アニメーションとイベントの知識 ・プログラミングの基本から実装方法まですべて学べる
図解! Git & GitHubのツボとコツがゼッタイにわかる本
ソフトウェア開発では欠かすことのできないGit、GitHub。 これからGit、GitHubを使いたいという入門者の方でも、実際に手を動かしながら使い方を学べます。
C自作の鉄則!2023 (日経BPパソコンベストムック)
メーカー製のパソコンはスペックが中途半端で、自分が本当に欲しい機種がない――。そう思っている人には、ぜひ自作パソコンをお薦めします。自作パソコンのパーツは進化が速く、しかも驚くほど種類が豊富。価格も性能も、幅広く用意されているため、満足度100%の“自分だけの1台”を手に入れることができます。
Interface 2023年6月号
特集:第1部 フィルタ設計 基礎の基礎/ 第2部 係数アプリや波形観測アプリで合点!FIR&IIRフィルタ作り/ 第3部 配布プリント基板で体験!マイコンで動くフィルタ作り
日経Linux 2023年5月号
【特集 1】 AI時代の最強フリーソフト ~ 25のやりたいを実現! 【特集 2】 AWS、Azureのうまみを無料で体感!面倒なことはクラウドに任せよう 【特集 3】 新しいRaspberry Pi Cameraで遊んでみよう 【特集 4】 Linuxで旧型PCを復活! 1kg切るモバイルPCを「ChromeOS Flex」でChromebook化
ラズパイマガジン2022年秋号
特集:5大人気ボード 電子工作超入門
「半導体不足で在庫が不足し、電子工作のボードがなかなか買えない…」。そんな今にふさわしい特集を企画しました。5種の人気ボードにすべて対応した電子工作の入門特集です。「GPIO」や「I2C」を使った電子パーツの制御方法は、どのボードでも同じです。手に入れられたボードを使って、今こそ電子工作を始めましょう。
地方で稼ぐ! ITエンジニアのすすめ
学歴、理系の知識、専門スキル……全部なくてもITエンジニアになれる! 地方でも高収入でやりがいをもって働ける!ITエンジニアの魅力を一挙大公開
Raspberry Piのはじめ方2022
本書は、ラズパイやPicoの買い方やインストール、初期設定といった基本から、サーバー、電子工作、IoT、AIといったラズパイならではの活用方法まで、1冊でお届けします。 ラズパイをこれから始める方向けに、全36ページの入門マンガ「女子高生とラズベリーパイ」も巻末に掲載。これを読むだけでラズパイがどんなものなのか、すぐに分かって触れるようになります。
ハッカーの学校 IoTハッキングの教科書
生活にとけこみ、家電機器を便利にするIoT技術。 Webカメラなど、便利の裏側に潜むセキュリティの危険性をハッキングで検証。 専門家がパケットキャプチャからハードウェアハッキングまで、その攻撃と防御を徹底解説。 本書は2018年7月に刊行された「ハッカーの学校IoTハッキングの教科書」に一部修正を加えた第2版です。
攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング
本書は、経済産業省から2021年4月にリリースされた、IoTセキュリティを対象とした『機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き』の『別冊2 機器メーカに向けた脅威分析及びセキュリティ検証の解説書』をもとに、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説しました。
ポチらせる文章術
販売サイト・ネット広告・メルマガ・ブログ・ホームページ・SNS… 全WEB媒体で効果バツグン! カリスマコピーライターが教える「見てもらう」「買ってもらう」「共感してもらう」すべてに効くネット文章術
プログラマーは世界をどう見ているのか 西村博之著
イーロン・マスク(テスラ)、ジェフ・べゾス(Amazon)、ラリー・ペイジ(Google)…etc. 世界のトップはなぜプログラマーなのか?
ニーア オートマタ PLAY ARTS改 <ヨルハ 二号 B型 DX版> PVC製 塗装済み可動フィギュア
「NieR:Automata」より、ヨルハ二号B型こと2BがPLAY ARTS改に新たに登場! 高級感の感じられるコスチュームや髪の質感、洗練されたボディバランス、細かなデティールに至るまでこだわり抜かれた逸品。 DX版には通常版のラインナップに加え2Bの随行支援ユニット ポッド042などをはじめ“純白の美しい太刀"白の約定やエフェクトパーツ、自爆モードを再現できる換装用ボディパーツ、シーンに合わせて変えられる顔パーツ2種も付属する豪華な仕様に。 作中のあらゆるシーンを再現することが可能なファン必見の一品となっている。
Newtonライト2.0 ベイズ統計
ベイズ統計は,結果から原因を推定する統計学です。AIや医療などの幅広い分野で応用されています。その基礎となるのは18世紀に考えだされた「ベイズの定理」です。 この本では,ベイズ統計学のきほんをやさしく紹介していきます。
白光(HAKKO) ダイヤル式温度制御はんだ吸取器 ハンディタイプ FR301-81

無水エタノールP 500mlx2個パック(掃除)

ケイバ(KEIBA) マイクロニッパー MN-A04

サンハヤト SAD-101 ニューブレッドボード

白光(HAKKO) HEXSOL 巻はんだ 精密プリント基板用 150g FS402-02

[Amazon限定ブランド]【指定第2類医薬品】PHARMA CHOICE 解熱鎮痛薬 解熱鎮痛錠IP 100錠


Copyright © 2011-2024 Sarako Tsukiyono All rights reserved®.