さくらのVPSにFreeBSD 9.0-RELEASEをインストールしてみた(2)

今回はファイヤーウォールipfwの設定です。
さくらのVPSを運用してみるとわかるのですが、攻撃が結構スゴイです。恐らく狙い撃ちされているのでしょう。本来は一通りの設定を終えてからファイヤーウォールを設定した方が面倒でないのですが、最小限の設定を先にしてしまいます。

  • ipfw

とりあえず、mailとDNS、NTP、SSHだけを空けておきます。

  • /etc/ipfw.conf (新ファイル作成)

    # statefull
    add 10000 check-state
    add 10010 deny all from any to any frag
    add 10020 deny tcp from any to any established
    add 10030 pass all from me to any out keep-state
    add 10040 pass icmp from any to any

    #add 11000 pass tcp from any to me 20 setup keep-state
    #add 11010 pass tcp from any to me 21 setup keep-state
    add 11020 pass tcp from any to me 25 setup keep-state
    add 11040 pass tcp from any to me 53 setup keep-state
    add 11050 pass udp from any to me 53 keep-state
    add 11060 pass udp from any to me 123 keep-state
    add 11070 pass tcp from any to me 20022 setup keep-state
    #add 11080 pass tcp from any to me 50000-51000

    #add 64999 deny log all from any to any
    add 65000 deny all from any to any

  • /etc/rc.conf

    firewall_enable=”YES”
    firewall_type=”/etc/ipfw.conf”
    firewall_logging=”YES”

  • 動作確認

    # ipfw -a list

64999行の#を外すと最終的に弾いたパケットのログ(⇒ /etc/security)が採れます。