rurihabachi
Last update: 2013/11/25  
    仮 想 マ シ ン で Fedora サ ー バ       ◇◇◇  お金をかけずに簡単簡潔  ◇◇◇  サーバ構築公開手順 覚書き  ◇◇◇
 
 
サーバ構築メニュー  
     1. はじめに
     2. 構築前の準備
     3. サーバの役割り
  » 4. サーバの計画
  » 5. 仮想マシンの準備
  » 6. Fedoraの準備
  » 7. サーバの基本設定
  » 8. ファイアウォール
  « 9. ウェブサーバ
       Apacheの設定
       Java実行環境
       Tomcatと連携
       iptablesの設定
  » 10. Apache Wicket
  » 11. メールサーバ
  » 12. セキュリティ
     13. サーバの公開


  サーバ構築Top  > 9.ウェブサーバの構築  > (4)iptablesの設定
    9. ウェブサーバの構築
最後にiptablesの設定を確認します。

    (4) iptablesの設定

iptables(ファイアウォール)の設定に関しては、前章 8.ファイアウォールサーバの構築 に詳細がありますが、ウェブサーバ上で設定する内容についてはここで再掲します。 iptablesの基本的な知識や設定方法については、前章を参照ください。

また、下記はウェブサーバにおけるiptablesの基本的な設定例です。 実際にサーバを公開する際には、下記のみでは対応できない場合があります。 より安全性を高めるiptablesの設定については
12(1) iptablesによる監視のページも参照ください。

 ◇     ◇     ◇

ウェブサーバの基本的なiptablesルール設定例:
  #!/bin/sh

  #Clear all rules and policies
  iptables -F

  #Clear all user defined chains
  iptables -X

  #Default policies
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
  iptables -P FORWARD DROP

  #Loopback interface
  iptables -A INPUT -i lo -j ACCEPT

  #Accept packets (port No.8009=tomcat)
  iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 80 -j ACCEPT
  iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 8009 -j ACCEPT                ……………  (*1)

  #Established and related packets
  iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

  #User defined chains (log and then drop)
  iptables -N LOG_DROP
  iptables -A LOG_DROP -j LOG --log-level warning
  iptables -A LOG_DROP -j DROP

  #Log and drop packets (no log for Broadcast packets etc.)
  iptables -A INPUT -d 172.16.10.31 -j DROP
  iptables -A INPUT -p udp -s 172.16.10.2 --sport 5353 -d 224.0.0.251 --dport 5353 -j DROP
                                                                                                                                             ……………  (*2)
  iptables -A INPUT -j LOG_DROP

上記の設定のうち、Tomcatを使用しない場合は、(*1)の行

  iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 8009 -j ACCEPT

は省きます。

また、(*2)の行は、定期的に送信されるマルチキャストDNS(ホスト名の探索)用パケットのログ出力が多量になるのを避けるために追加しています。

ウェブサーバ上でファイル転送用のサービスを使用する場合などは、サービスに必要なポートを空けておくよう、ルールを追加する必要があります。 その際には、送信元のIPアドレスを限定しておくなど、できるだけ安全性を高める設定を行います。

 ◇     ◇     ◇

ウェブサーバの準備が終わりましたら、続いてウェブサイトを準備します。

次章では、ウェブサイト作成の一例として、Apache Wicketによるウェブアプリケーションの開発方法について少しだけ触れています。



前のページへ <    メニューへ戻る    > 10.Apache Wicket へ

9.ウェブサーバの構築:
 
   (1)Apacheのインストール
   (2)Java実行環境
   (3)Tomcatのインストール
  ›(4)iptablesの設定
 
Copyright (C) 2011-2019 rurihabachi. All rights reserved.