4,723
回編集
差分
編集の要約なし
なおスクリプトが/etc/resolv.confを書き換えてしまいますので、不都合がある場合には修正しておいてください。adsl-setupを実行すると指定したDNSサーバが/etc/resolv.confに設定されます。
# adsl-stop
===ファイアウォールの設定===
この方法ではLinuxマシンにグローバルIPが当たるため、そのままではマシンが公開されているのと同じことになってしまいます。このため、外部からの攻撃にさらされるのでiptablesによってフィルタリングすることによって不要なトラフィックを遮断する方法で防御します。<br>
iptablesのエントリはCentOSのデフォルトのものに追加する形で追記します。ファイルは/etc/sysconfig/iptablesを修正して行います。設定に必要な情報は以下の通りとします。<br>
:インタフェース ppp0
:開くポート
:: SIPシグナリング UDP 5060
:: メディア(RTP) UDP 10000~20000 (rtp.confで調整できる)
:: セッションの戻りパスの許可
これら以外は遮断します。というのはGOLはFUSIONとのVoIP接続にしか使用しないためです。また、SIPおよびUDPのポートはフュージョンのIPレンジにのみ許可します。<br>
/etc/sysconfig/iptablesの内容は以下のようになります。
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i ppp0 -s 61.114.160.0/20 -p udp -m udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 61.114.160.0/20 -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 61.117.213.0/24 -p udp -m udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 61.117.213.0/24 -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 61.203.144.0/20 -p udp -m udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 61.203.144.0/20 -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 61.213.224.0/20 -p udp -m udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 61.213.224.0/20 -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 202.176.16.0/20 -p udp -m udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 202.176.16.0/20 -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 202.176.32.0/19 -p udp -m udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 202.176.32.0/19 -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 210.253.135.0/24 -p udp -m udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 210.253.135.0/24 -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 219.105.160.0/20 -p udp -m udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -s 219.105.160.0/19 -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -j REJECT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
フュージョンのIPレンジは変更される可能性があるので注意してください。