ネットワークの設定

ホスト名の変更

  • 自分自身のホスト名(hostname)を変更する方法です。自宅サーバが複数台あって試験的に切り替えるときなどこの方法を使用します。
    けど、たまーにしかやらないのですっかり忘れるのでメモしておきます。
    • ネットワーク設定ファイルの変更
      # vi /etc/sysconfig/network
         NETWORKING=yes
         HOSTNAME=sea-bird.org
             ↓
         HOSTNAME=ns.sea-bird.org
    • 設定を変えたらマシンを再起動します
      # reboot

IPv4パケット転送を有効にしとく

  • /etc/sysctl.confを以下のように編集する
    net.ipv4.tcp_syncookies = 1  ← IPv4パケット転送を有効

ファイアウォールの設定

  • 私のセキュリティポリシーは、ルータでwanからアクセスされるポートを制限しているのでアクセスに対しては基本的に制御しないとしてますが、それでもルータが乗っ取られると嫌なので最低限以下は、設定してみます。
    ・内部lanからサーバのアクセスは全て受け付ける。
    ・wanからアクセスがあった場合は、サービス提供しているポートのみ公開しそれ以外を破棄する。
    ・中国・韓国・台湾からのアクセスを禁止(アタック防止)
      ※アドレスを偽装された場合は、制御できません。
    • とてもよい参考サイトがありました
    • ip4ファイアウォールを起動する
      # /etc/rc.d/init.d/iptables start
      # chkconfig iptables on
      • その他
        http://d.hatena.ne.jp/Ubuntu/20080128/1201462048 
        http://www.system-act.com/weblog/server/ 
        http://d.hatena.ne.jp/Ubuntu/20080205/1202219897 
        http://d.hatena.ne.jp/spidy_spidy/20080417 
        http://netlog.jpn.org/r271-635/2008/01/iptables_on_fedora_8.html
  • ip6は、使用しないのでip6v版ファイアウォールを停止しときます
    ipv6版ファイアウォール停止
     # /etc/rc.d/init.d/ip6tables stop
     # chkconfig ip6tables off

ファイアウォールのログ

  • ファイアウォール構築(iptables) / 魚拓 を参考にして運用した場合、/var/log/messagesに以下のようにreject(拒否)されたアドレスが記録されます。(*は、マスクしてます)
    Jun 24 22:46:50 ns kernel: [IPTABLES DENY_COUNTRY] : IN=eth0 OUT= MAC=00:**:63:dc:f4:eb:00:**:cc:f2:80:53:08:00 SRC=61.247.202.** DST=*.*.*.* LEN=73 TOS=0x00 PREC=0x00 TTL=52 ID=3913 PROTO=UDP SPT=65365 DPT=53 LEN=53
  • /etc/sysconfig/iptables に、定義があるよ

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-08-30 (水) 15:29:32