HOME | Raspberry Pi | ビジネス書籍紹介 | 2021-09-19 (Sun) Today's Access : 139 Total : 354133. Since 10 Sep. 2019

ラズパイで作る自宅WEBサーバ構築
第10回 ファイアーウォール(iptables) 設定 2019.11.24

今回はファイアーウォールの設定です。
YouTube 動画でポイントを説明しています。上記画像をクリックすると再生できます。
サーバーの設定は、パソコン側のSSHクライアントソフトを利用して行っています。

サーバー構成図で示すように、ブロードバンドルーターの内側にサーバーを設置しているので、ブロードバンドルータ側で必要なポートのみを解放すれば 済んでしまうのですが、内側のラズパイでもファイアウォールを設置して二重化しています。



セキュリティ関連の無効化
$ dpkg --get-selections | grep selinux
libselinux1:arm64  install ← SELinux ランタイム共有ライブラリ

$ dpkg --get-selections | grep apparmor
apparmor                install
libapparmor1:arm64      install
SELinux(Security Enhanced Linux)はライブラリのみがインストールされています。
AppArmor (Application Armor/アプリケーションアーマー) は、アプリケーションのシステムアクセスを制限するセキュリティツールです。 ネットワークアクセス、ファイルへの読み書き実行などの機能を制限することができます。
AppArmorの状態を表示してみます。
$ sudo aa-status
apparmor module is loaded.
17 profiles are loaded.
17 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/lxc-start
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/mysqld
   /usr/sbin/named
   /usr/sbin/tcpdump
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   man_filter
   man_groff
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/mysqld (1382)
   /usr/sbin/named (1329)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
※Enforce mode:プロファイルが許可しない動作をブロック
※Complain mode:プロファイルが許可しない動作をブロックせずにログを残す

MySQLなどの実行にも影響を与えていないのですが、外部にはSSHを通していないので、無効にしてしまいます。
$ sudo service apparmor stop

ufw(Uncomplicated FireWall)は、ファイアウォールの設定を行うコマンドですが、iptablesのラッパーなので無効化しておきます。
$ sudo ufw disable

既存設定の確認
$ sudo /sbin/iptables -L
Chain INPUT (policy ACCEPT) 
target     prot opt source               destination 
Chain FORWARD (policy ACCEPT) 
target     prot opt source               destination 
Chain OUTPUT (policy ACCEPT) 
target     prot opt source               destination 
何も設定されていないので、すべてのポートがACCEPTになっています。
iptables 設定用スクリプト(iptables.sh)の作成

iptablesはコマンドなので、実行しなければ有効となりませんが、サーバを起動する度に細かい設定をするのは面倒です。 シェルスクリプトを用意して、起動時に実行するようにします。
iptables コマンドをリモートで直接実行する場合は要注意です。間違えるとポートが塞がって回線が切断されてしまいます。
$ mkdir /home/ubuntu/scripts
$ cd /home/ubuntu/scripts
$ vi iptables.sh
#!/bin/bash

iptables -F           ← 設定をクリア(chainのルールをすべて削除)
iptables -X           ← ユーザー定義チェインを削除

iptables -P INPUT   DROP    ← ポリシー設定
iptables -P FORWARD DROP
iptables -P OUTPUT  ACCEPT
 
iptables -A INPUT -p tcp --dport 22  -j ACCEPT    ← SSH
iptables -A INPUT -p tcp --dport 25  -j ACCEPT    ← SMTP
iptables -A INPUT -p tcp --dport 53  -j ACCEPT    ← DNS
iptables -A INPUT -p tcp --sport 53  -j ACCEPT
iptables -A INPUT -p udp --dport 53  -j ACCEPT
iptables -A INPUT -p udp --sport 53  -j ACCEPT

iptables -A INPUT -p tcp --dport 80  -j ACCEPT    ← WEB(http)
iptables -A INPUT -p tcp --dport 110 -j ACCEPT    ← POP
iptables -A INPUT -p udp --dport 123 -j ACCEPT    ← NTP
iptables -A INPUT -p udp --sport 123 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT    ← IMAP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT    ← WEB(https)
iptables -A INPUT -p tcp --dport 587 -j ACCEPT    ← SMTP Submission
iptables -A INPUT -i lo -j ACCEPT            ← 自端末からの入力許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
                                 ↑こちらから求めたパケットは許可する
※iptablesは上から順番にルールが適用されます。
※iptables -F:これをリモート端末から直接実行すると通信が遮断されてしまいます。
※この設定では ping は許可していません。ping を自動的に飛ばして サーバを探索して、悪意ある攻撃をされることがあるので 必要なければ解放しないほうが良いかもしれません。解放するのであれば下記を追加します。
iptables -A INPUT -p icmp -j ACCEPT
※ICMP ( Internet Control Message Protocol ) はインターネット層(OSI参照モデルのネットワーク層)で動作するプロトコルです。

また、必要に応じて下記の許可も検討してみてください。
iptables -A INPUT -p tcp --dport 20  -j ACCEPT  ← FTP(非推奨)
iptables -A INPUT -p tcp --dport 21  -j ACCEPT  ← FTP(非推奨)
iptables -A INPUT -p tcp --dport 465 -j ACCEPT  ← SMTPS(SMTP SSL)
iptables -A INPUT -p tcp --dport 993 -j ACCEPT  ← IMAP(SSL)
iptables -A INPUT -p tcp --dport 995 -j ACCEPT  ← POP(SSL)
スクリプトファイルのアクセス権限を設定します
$ sudo chmod 700 iptables.sh

フィルタを適応してみます
$ sudo ./iptables.sh
一旦、接続が遮断されるので、再度、SSH接続します。

設定を確認します
$ sudo /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source      destination
ACCEPT     icmp --  anywhere    anywhere
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:ssh
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:smtp
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:domain
ACCEPT     tcp  --  anywhere    anywhere    tcp spt:domain
ACCEPT     udp  --  anywhere    anywhere    udp dpt:domain
ACCEPT     udp  --  anywhere    anywhere    udp spt:domain
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:http
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:pop3
ACCEPT     udp  --  anywhere    anywhere    udp dpt:ntp
ACCEPT     udp  --  anywhere    anywhere    udp spt:ntp
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:imap2
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:https
ACCEPT     tcp  --  anywhere    anywhere    tcp dpt:submission
ACCEPT     all  --  anywhere    anywhere
ACCEPT     all  --  anywhere    anywhere    state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
システム起動時にスクリプトが実行されるように、サービス用のファイルを設定します。
$ sudo vi /lib/systemd/system/iptables.service
[Unit]
Description=iptables startup script

[Service]
Type=simple
ExecStart=/home/ubuntu/scripts/iptables.sh
Restart=no

[Install]
WantedBy=multi-user.target
※ファイル名は末尾が.serviceになるようにします。

サービスを有効にします
$ sudo systemctl enable iptables
Created symlink /etc/systemd/system/multi-user.target.wants/iptables.service → /lib/systemd/system/iptables.service.

有効になると、/etc/systemd/system/multi-user.target.wants 配下に iptables.service のシンボリックリンクが作成されます

無効にする場合は $ sudo systemctl disable iptables

サービスの状態を確認します
$ sudo systemctl list-unit-files --type=service | grep iptables
iptables.service            enabled
システムを再起動して、ステータスを確認します
$ sudo reboot
$ sudo systemctl status iptables
● iptables.service - iptables startup script
Loaded: loaded (/lib/systemd/system/iptables.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Fri 2019-07-19 18:35:48 JST; 4 months 6 days ago
Main PID: 1253 (code=exited, status=0/SUCCESS)

7月 19 18:35:45 ns.example.jp systemd[1]: Started iptables startup script.

※備考 iptables.sh で、Restart=always を指定した場合
start request repeated to quickly
のエラーになります。

解放しているポートを調べるツールを組込みます
$ apt-cache show nmap
Package: nmap
Architecture: arm64
Version: 7.60-1ubuntu5

$ sudo apt-get -y install nmap
TCP ポートをスキャンします
$ sudo nmap localhost
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
143/tcp  open  imap
465/tcp  open  smtps
587/tcp  open  submission
3306/tcp open  mysql
不正中継テストは下記のサービスを利用できます
http://www.abuse.net/relay.html
 Raspberry Pi(ラズベリー パイ)は、ARMプロセッサを搭載したシングルボードコンピュータ。イギリスのラズベリーパイ財団によって開発されている。
2019.10.15 第1回 前準備
2019.10.20 第2回 Ubuntu Server インストール
2019.10.27 第3回 Ubuntu Server 詳細設定
2019.10.28 番外編 無線LAN接続設定
2019.11.02 第4回 Apache WEBサーバ設定
2019.11.05 第5回 PHP 設定
2019.11.10 第6回 MySQL 設定
2019.11.11 第7回 DNS (bind) 設定
2019.11.16 第8回 メールサーバ(Postfix)設定・前編
2019.11.21 第9回 メールサーバ(Postfix)設定・後編
2019.11.24 第10回 ファイアウォール(iptables) 設定
2019.11.25 第11回 crontab 設定
2019.12.01 第12回 運用準備
2019.12.03 第13回 Windowsパソコンに開発環境を作る
2019.12.05 第14回 WEBサーバー公開
2019.12.10 第15回 動的サイト制作
2019.12.11 第16回 簡単なアクセスカウンターを作る
2020.03.04 TTGO-Camera による定点観測・WEB公開
2021.03.15 第17回 サーバ・リプレイス
2021.03.27 第18回 システム移行


ニーア オートマタ PLAY ARTS改 <ヨルハ 二号 B型 DX版> PVC製 塗装済み可動フィギュア
「NieR:Automata」より、ヨルハ二号B型こと2BがPLAY ARTS改に新たに登場! 高級感の感じられるコスチュームや髪の質感、洗練されたボディバランス、細かなデティールに至るまでこだわり抜かれた逸品。 DX版には通常版のラインナップに加え2Bの随行支援ユニット ポッド042などをはじめ“純白の美しい太刀"白の約定やエフェクトパーツ、自爆モードを再現できる換装用ボディパーツ、シーンに合わせて変えられる顔パーツ2種も付属する豪華な仕様に。 作中のあらゆるシーンを再現することが可能なファン必見の一品となっている。

DIPスイッチで動作電圧を3.3Vと5Vに切り替えられるUNO互換ボード
KEYESTUDIO Plus Board for Arduino UNO R3 with Type-C USB Cable, 3.3V 5V 1.5A Output Current, More Powerful Controller Board USB-シリアルチップ:CP2102 / 動作電圧:5Vまたは3.3V(DIPスイッチ制御)/ 外部電源:DC 6-15V(9V推奨)/ デジタルI / Oピン:14(D0〜D13)/ PWMチャネル:6(D3 D5 D6 D9 D10 D11)/ アナログ入力チャネル(ADC):8(A0-A7)/ DC出力機能の各I / Oポート:20 mA / 3.3Vポートの出力能力:50 mA / フラッシュメモリ:32 KB(うち0.5 KBはブートローダーによって使用されます)/ SRAM:2 KB(ATMEGA328P-AU)/ EEPROM:1 KB(ATMEGA328P-AU)/ クロック速度:16MHz / オンボードLEDピン:D13

エレクトロクッキー Leonardo R3 ATmega32u4 ボード DIY Arduino工作用 - ピンクエディション


Newtonライト2.0 ベイズ統計
ベイズ統計は,結果から原因を推定する統計学です。AIや医療などの幅広い分野で応用されています。その基礎となるのは18世紀に考えだされた「ベイズの定理」です。 この本では,ベイズ統計学のきほんをやさしく紹介していきます。

Interface 2021年10月号
☆特集:~ 格好良さアップ! 機能&信頼性アップ ! ~「 3Dプリンタ & メカ設計入門 」
☆特集2:Pico達人への道…「 C/C++でMicroPython拡張 」


トランジスタ技術 2021年9月号
☆特集:~ 直流・交流・非接触・センサ微小電流の測定ノウハウ ~「電流を正しく測る技術」

トランジスタ技術スペシャル 2021年7月号 宇宙ロケット開発入門
これから開発・活用が進むと期待されている宇宙空間への交通・物流インフラとして、小型・低価格ロケットが注目を集めています。本書では、基本構造から制御メカニズムまで、小型宇宙ロケット開発の基礎知識を実例を交えて解説します。

日経Linux 2021年9月号
【特集1】おうち時間をLinuxデスクトップで楽しむ! Linux環境を作るワザ
【特集2】徹底図解で丸わかり! 「WSL2」入門   Windows 11の新機能を速報!
【特集3】IT自動化ツール AnsibleでWeb導入を自動化
【特集4】ラズパイで楽しむLinuxライフ 「今、会議中」と家族に伝えるプレートをPythonで作ろう


ラズパイマガジン2021年秋号
特集1 サクッと動くパーツ&ライブラリ総覧
特集2 ArduinoライブラリでラズパイPicoを動かす
特集3 古いラズパイをフル活用! Node-REDで 楽しい電子工作
特集4 空気の汚れをラズパイで検知しよう
特集5 ラズパイで楽しむLinuxライフ
特集6 NVIDIAのAIボードが6000円台に!
特集7 M5StickCで始める電子工作 iPhoneからサーボモーターを制御しよう


トランジスタ技術スペシャル 2021年 4月号 No.154「達人への道 電子回路のツボ」
初学者が実用的な電子回路を設計できるようになるためのポイントをまとめました。学校の教科書だけではつかめない基本電子回路やOPアンプ/トランジスタの使い方の実際を、いろいろな視点から解説しています。


Raspberry Pi 3 Model B V1.2 (日本製) 国内正規代理店品
【仕様概要】CPU:ARM 1.2GHz 4コア、GPU:2コア 3D・動画支援、RAM:1GB、ネットワーク:LAN/Wi-Fi/Bluetooth、インターフェース:USB/HDMI/オーディオ/GPIO(UART/I2C/I2S/SPI...)。

ELEGOO Arduino用 Nanoボード V3.0 CH340/ATmega328P、Nano V3.0互換 (3)


ESPr Developer 32
スイッチサイエンス(Switch Science)

協和ハーモネット UL1007 AWG24 耐熱ビニル絶縁電線 リール巻 100m 黒


白光(HAKKO) ダイヤル式温度制御はんだ吸取器 ハンディタイプ FR301-81


サンハヤト TTW-203 テストワイヤ
ブレッドボードとスルーホール間の接続に便利なワイヤですブレッドボード用のオスピンと基板のスルーホール用のバネ性のある端子を組み合わせたテストワイヤです

無水エタノールP 500mlx2個パック(掃除)


ケイバ(KEIBA) マイクロニッパー MN-A04


熱収縮チューブφ1.5
印字無しで綺麗☆ シュリンクチューブ 絶縁チューブ 防水 高難燃性 収縮チューブ (2m, ブラック(黒))


サンハヤト SAD-101 ニューブレッドボード


白光(HAKKO) HEXSOL 巻はんだ 精密プリント基板用 150g FS402-02


【Amazon.co.jp限定】エーモン 電工ペンチ 全長約255mm (1452)


[Amazon限定ブランド]【指定第2類医薬品】PHARMA CHOICE 解熱鎮痛薬 解熱鎮痛錠IP 100錠


Copyright © 2011-2022 Sarako Tsukiyono All rights reserved®.