元々価格が安いVPSは、オプションとして比較的高価なファイアーウォールを利用するケースは少ないと思います。その場合のセキュリティ対策は借りているVPS自体で行う必要があります。
大概のVPSサービスはLinux系のCentOSが提供されますので、標準でiptablesという簡易ファイアウォールが利用できます。このiptablesは一般的なファイアウォールの標準的機能であるパケットフィルタリング等がきめ細かくできますが、反面ネットワークの知識が必要で、慣れていない方には少し設定が難しいと思います。簡易的なアクセス制限についてはこちらを参考にしてください。
次の例では、備忘も兼ねて標準的なWebサービスを提供するサーバを運用する場合のファイアウォール設定を記述しています。なおこちらは机上での設定例を記述しただけで、実際のVPSでの動作検証は行っておりませんので、参考にされる場合はくれぐれも自己責任でお願いします。
まずは運用ポリシーを決めましょう
(1)デフォルトで全てのアクセスを拒否する
(2)必要なポートのみ解放する
(3)メンテナンス用のアクセス解放は特定IPアドレスに限定する
以下はiptablesサービスが起動時に読み込む/etc/sysconfig/iptablesファイルを編集した内容になります。
-------------------------------------------------------
#受信、送信、通過を全て拒否
*filter
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
:FORWARD DROP [0:0]
#VPS自身からの送受信(ループバック)を許可
#VPS⇔VPS
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
#ping(icmp)を許可
#VPS⇔WAN
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
#名前解決の為に内部からDNS(53)参照を許可
#VPS→WAN
-A INPUT -p udp --sport 53 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT
#時刻同期の為に内部からNTP(123)参照を許可
#VPS→WAN
-A INPUT -p udp --sport 123 -j ACCEPT
-A OUTPUT -p udp --dport 123 -j ACCEPT
#Webサービス(80)を解放
#WAN→VPS
-A INPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --sport 80 -j ACCEPT
#Webサービス(443)を解放
#WAN→VPS
-A INPUT -p tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp --sport 443 -j ACCEPT
#外部APIなどへのHTTP接続(80)を許可※
#外部APIなどへのHTTPS接続(443)を許可※
#※できれば宛先の制限をお勧めします
#SMTPサービス(25)送受信を許可
#WAN⇔VPS
-A INPUT -p tcp --sport 25 -j ACCEPT
-A INPUT -p tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp --sport 25 -j ACCEPT
-A OUTPUT -p tcp --dport 25 -j ACCEPT
#特定IPアドレスからSSH(22)を許可
#123.123.123.123→VPS
-A INPUT -p tcp -s 123.123.123.123 --dport 22 -j ACCEPT
-A OUTPUT -p tcp -d 123.123.123.123 --sport 22 -j ACCEPT
#特定IPアドレスからFTP(20,21)を許可
#123.123.123.123→VPS
-A INPUT -p tcp -s 123.123.123.123 --dport 20 -j ACCEPT
-A OUTPUT -p tcp -d 123.123.123.123 --sport 20 -j ACCEPT
-A INPUT -p tcp -s 123.123.123.123 --dport 21 -j ACCEPT
-A OUTPUT -p tcp -d 123.123.123.123 --sport 21 -j ACCEPT
COMMIT
-------------------------------------------------------
編集後iptablesを再起動するとフィルタが適用されますが、設定をミスするとVPSにつながらなくなる可能性があり、最悪OSリセットからやり直しになる可能性もあります。くれぐれも重要な設定はサービスの開始前に行うことをお勧めします。
大概のVPSサービスはLinux系のCentOSが提供されますので、標準でiptablesという簡易ファイアウォールが利用できます。このiptablesは一般的なファイアウォールの標準的機能であるパケットフィルタリング等がきめ細かくできますが、反面ネットワークの知識が必要で、慣れていない方には少し設定が難しいと思います。簡易的なアクセス制限についてはこちらを参考にしてください。
次の例では、備忘も兼ねて標準的なWebサービスを提供するサーバを運用する場合のファイアウォール設定を記述しています。なおこちらは机上での設定例を記述しただけで、実際のVPSでの動作検証は行っておりませんので、参考にされる場合はくれぐれも自己責任でお願いします。
まずは運用ポリシーを決めましょう
(1)デフォルトで全てのアクセスを拒否する
(2)必要なポートのみ解放する
(3)メンテナンス用のアクセス解放は特定IPアドレスに限定する
以下はiptablesサービスが起動時に読み込む/etc/sysconfig/iptablesファイルを編集した内容になります。
-------------------------------------------------------
#受信、送信、通過を全て拒否
*filter
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
:FORWARD DROP [0:0]
#接続済みパケットの送受信を許可
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#VPS自身からの送受信(ループバック)を許可
#VPS⇔VPS
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
#ping(icmp)を許可
#VPS⇔WAN
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
#名前解決の為に内部からDNS(53)参照を許可
#VPS→WAN
-A INPUT -p udp --sport 53 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT
#時刻同期の為に内部からNTP(123)参照を許可
#VPS→WAN
-A INPUT -p udp --sport 123 -j ACCEPT
-A OUTPUT -p udp --dport 123 -j ACCEPT
#Webサービス(80)を解放
#WAN→VPS
-A INPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --sport 80 -j ACCEPT
#Webサービス(443)を解放
#WAN→VPS
-A INPUT -p tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp --sport 443 -j ACCEPT
#外部APIなどへのHTTP接続(80)を許可※
#VPS→WAN
-A INPUT -p tcp --sport 80 -j ACCEPT
-A INPUT -p tcp --sport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -j ACCEPT
#外部APIなどへのHTTPS接続(443)を許可※
#VPS→WAN
-A INPUT -p tcp --sport 443 -j ACCEPT
-A INPUT -p tcp --sport 443 -j ACCEPT
-A OUTPUT -p tcp --dport 443 -j ACCEPT
#※できれば宛先の制限をお勧めします
#SMTPサービス(25)送受信を許可
#WAN⇔VPS
-A INPUT -p tcp --sport 25 -j ACCEPT
-A INPUT -p tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp --sport 25 -j ACCEPT
-A OUTPUT -p tcp --dport 25 -j ACCEPT
#特定IPアドレスからSSH(22)を許可
#123.123.123.123→VPS
-A INPUT -p tcp -s 123.123.123.123 --dport 22 -j ACCEPT
-A OUTPUT -p tcp -d 123.123.123.123 --sport 22 -j ACCEPT
#特定IPアドレスからFTP(20,21)を許可
#123.123.123.123→VPS
-A INPUT -p tcp -s 123.123.123.123 --dport 20 -j ACCEPT
-A OUTPUT -p tcp -d 123.123.123.123 --sport 20 -j ACCEPT
-A INPUT -p tcp -s 123.123.123.123 --dport 21 -j ACCEPT
-A OUTPUT -p tcp -d 123.123.123.123 --sport 21 -j ACCEPT
COMMIT
-------------------------------------------------------
編集後iptablesを再起動するとフィルタが適用されますが、設定をミスするとVPSにつながらなくなる可能性があり、最悪OSリセットからやり直しになる可能性もあります。くれぐれも重要な設定はサービスの開始前に行うことをお勧めします。
コメント