iptables(ファイアウォール)の設定に関しては
8.ファイアウォールサーバの構築
に詳細がありますが、メールサーバ上で設定する内容についてはここで再掲します。
下記はメールサーバにおけるiptablesの基本的な設定例です。
実際にサーバを公開する際には、下記のみでは対応できない場合があります。
より安全性を高めるiptablesの設定については
12(1) iptablesによる監視のページも参照ください。
◇ ◇ ◇
メールサーバの基本的なiptablesルール設定例:
#!/bin/sh
#Clear all rules and policies
iptables -F
#Clear all user defined chains
iptables -X
#Default policies
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Loopback interface
iptables -A INPUT -i lo -j ACCEPT
#Accept packets
#25:SMTP, 110:POP3, 143:IMAP, 443:HTTPS, 465:SMTPS, 993:IMAPS, 995:POP3S ……… (*1)
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 465 -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 993 -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 995 -j ACCEPT
#Established and related packets
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#User defined chains (log and then drop)
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-level warning
iptables -A LOG_DROP -j DROP
#Log and drop packets (no log for Broadcast packets etc.)
iptables -A INPUT -d 172.16.10.31 -j DROP
iptables -A INPUT -j LOG_DROP
|
上記の設定のうち、(*1)のブロックでは、使用しないポートがあれば削除します。
なお、ポート443(HTTPS)はSquirrelmail(Webメール)を使用する際に必要になります。
◇ ◇ ◇
次章では、ここまで構築してきた各サーバのセキュリティをさらに高めるための設定についてまとめています。