文書更新:2020年02月20日(木) 午前9時38分47秒

Home > 備忘録(Fedora) > firewall > Direct Options( 140 )

Direct Options

  1. firewall-cmd [--permanent] --direct --add-chain {ipv4|ipv6|eb} <テーブル> <チェイン>
    1. ユーザー定義チェインの作成
      2. firewall-cmd --permanent --direct --add-chain ipv4 filter INPUT_custom

firewall-cmd --permanent --direct --add-chain ipv4 filter LOG_PINGDEATH

firewall-cmd --permanent --direct --add-chain ipv4 filter port-scan
  2. firewall-cmd [--permanent] --direct --add-rule {ipv4|ipv6|eb} <テーブル> <チェイン> <優先順位> <引数>
    1. BLACKLISTからのアクセスを拒否する
      2. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -m set --match-set BLACKLIST src -j DROP
    2. WHITELIST以外からのアクセスを拒否する
      3. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -m set ! --match-set WHITELIST src -j DROP
    3. 外部からのSSHポートへのアクセスを許可(22番ポート)
      4. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -j ACCEPT
    4. 外部からのTCP80番ポート(HTTP)へのアクセスを許可
      5. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -j ACCEPT
    5. 外部からのTCP443番ポート(HTTPS)へのアクセスを許可
      6. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 443 -j ACCEPT
    6. 外部からのTCP123番ポート(NTP)へのアクセスを許可
      7. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 123 -j ACCEPT
    7. 外部からのSSHポートへのアクセスをWHITELISTからのみ許可(22番ポート)
      8. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -m set --match-set WHITELIST src -j ACCEPT
    8. ポートフォワーディング(外部ポート80番をローカルの80番に)
      9. firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -p tcp --dport 80 -j DNAT --to 192.168.1.10:80
    9. 外部からの複数ポートへのアクセスを許可(22,80,443,123ポート)
      10. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp -m multiport --dport 22,80,443,123 -j ACCEPT
    10. skype のためにポート解放(3478 – 3481,50000 – 60000,1000 – 10000,50000 – 65000,16000 – 26000)
      11. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p udp -m multiport --dport 3478:3481,50000:60000 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp -m multiport --dport 1000:10000,50000:65000,16000:26000 -j ACCEPT
    11. データを持たないパケットの接続を破棄する
      12. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --tcp-flags ALL NONE -j DROP
    12. SYNflood攻撃と思われる接続を破棄する
      13. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp ! --syn -m state --state NEW -j DROP
    13. ステルススキャンと思われる接続を破棄する
      14. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --tcp-flags ALL ALL -j DROP
    14. ループバック(自分自身からの通信)を許可する
      15. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -i lo -j ACCEPT
    15. マルチキャストアドレスを破棄する
      16. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -m pkttype --pkt-type multicast -j DROP
    16. invalid パケットを破棄
      17. firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -m state --state INVALID -j DROP

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -m state --state INVALID -j DROP

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m state --state INVALID -j DROP
    17. limitモジュールを使用して1秒間にSYNパケットが5以上連続するとログに書き出して以降はSYNパケットを拒否
      18. firewall-cmd --permanent --direct --add-chain ipv4 filter port-scan

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -i wlp2s0 -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j port-scan

firewall-cmd --permanent --direct --add-rule ipv4 filter port-scan 1 -m limit --limit 1/s --limit-burst 4 -j RETURN

firewall-cmd --permanent --direct --add-rule ipv4 filter port-scan 1 -j LOG --log-prefix "IPTABLES PORT-SCAN:"

firewall-cmd --permanent --direct --add-rule ipv4 filter port-scan 1 -j DROP