サービスを停止し、不要なポートをブロックすることを常にお勧めします。不要なポートを開いたままにしておくと、システムに脆弱性が生じる可能性があります。要件に応じて、特定のポートで着信トラフィックと発信トラフィックの両方をブロックできます。
受信ポートをブロック
iptables を使用して着信ポートをブロックする構文は次のとおりです。これは、グローバルにすべてのインターフェースに適用されます。
# iptables -A INPUT -p tcp --destination-port [port number] -j DROP
特定のインターフェイスでのみポートをブロックするには、-i オプションを使用します。
# iptables -A INPUT -i [interface name] -p tcp --destination-port [port number] -j DROP
特定の IP またはサブネットに対してのみポートをブロックするには、-s オプションを使用してサブネットまたは IP アドレスを指定します。
# iptables -A INPUT -i [interface name] -p tcp --destination-port [port number] -s [ip address] -j DROP # iptables -A INPUT -i [interface name] -p tcp --destination-port [port number] -s [ip subnet] -j DROP
例:
ポート 21 をブロックするには (FTP をブロックするには)、次のコマンドを使用します:
# iptables -A INPUT -p tcp --destination-port 21 -j DROP
ルールが再起動後も持続するように、iptables を保存します。
# service iptables save
インターフェイス eth1 で特定の IP アドレス (例:10.10.10.10) のポート 21 をブロックするには、次のコマンドを使用します:
# iptables -A INPUT -p tcp -i eth1 -s ! 10.10.10.10 --destination-port 21 -j DROP
ルールが再起動後も持続するように、iptables を保存します。
# service iptables save
発信ポートをブロック
iptables を使用して発信ポートをブロックする構文は次のとおりです。これは、グローバルにすべてのインターフェースに適用されます。
# iptables -A OUTPUT -p tcp --destination-port [port number] -j DROP
特定のインターフェイスでのみポートをブロックするには、-i オプションを使用します。
# iptables -A OUTPUT -i [interface name] -p tcp --destination-port [port number] -j DROP
特定の IP またはサブネットに対してのみポートをブロックするには、-s オプションを使用してサブネットまたは IP アドレスを指定します。
# iptables -A OUTPUT -i [interface name] -p tcp --destination-port [port number] -s [ip address] -j DROP
# iptables -A OUTPUT -i [interface name] -p tcp --destination-port [port number] -s [ip subnet] -j DROP
例:
発信ポート # 25 をブロックするには、次のコマンドを使用します。
# iptables -A OUTPUT -p tcp --destination-port 25 -j DROP
ルールが再起動後も持続するように、iptables を保存します。
# service iptables save
IP アドレス 10.10.10.10 のポート番号 25 のみをブロックするには、次のコマンドを使用します:
# iptables -A OUTPUT -p tcp -d 10.10.10.10 --destination-port 25 -j DROP
ルールが再起動後も持続するように、iptables を保存します。
# service iptables save