4,723
回編集
差分
→PPPoEの設定
collisions:0 txqueuelen:3
RX bytes:30 (30.0 b) TX bytes:30 (30.0 b)
この時点ではファイアウォールを設定していないため、このまま接続しておくと危ないので接続確認ができたなら、一旦、インタフェースを落としておきます。<br>なおスクリプトが/etc/resolv.confを書き換えてしまいますので、不都合がある場合には修正しておいてください。adsl-setupを実行すると指定したDNSサーバが/etc/resolv.confに設定されます。
# adsl-stop
===ファイアウォールの設定===この方法ではLinuxマシンにグローバルIPが当たるため、そのままではマシンが公開されているのと同じことになってしまいます。このため、外部からの攻撃にさらされるのでiptablesによってフィルタリングすることによって不要なトラフィックを遮断する方法で防御します。<br>iptablesのエントリはCentOSのデフォルトのものに追加する形で追記します。ファイルは/etc/sysconfig/iptablesを修正して行います。設定に必要な情報は以下の通りとします。<br>:インタフェース ppp0:開くポート :: SIPシグナリング UDP 5060:: メディア(RTP) UDP 10000~20000 (rtp.confで調整できる):: DNSリゾルバ UDP 53これら以外は遮断します。というのはGOLはFUSIONとのVoIP接続にしか使用しないためです。<br> /etc/sysconfig/iptablesの内容は以下のようになります。 # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i ppp0 -p udp -m udp --dport 5060 -j ACCEPT <--追加するSIP(UDP/5060) -A RH-Firewall-1-INPUT -i ppp0 -p udp -m udp --dport 10000:20000 -j ACCEPT <--追加するRTP(UDP10000~20000) -A RH-Firewall-1-INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT <--追加する外部に対し張ったセッションの戻り -A RH-Firewall-1-INPUT -i ppp0 -j REJECT <--追加する。上記以外は全て拒否する。 -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
書きかけ