[linux] update-rc.dでマシン起動と終了時にiptablesルールスクリプトを走らせる。

デーモン起動と同じ事をするということ。

iptablesのルールを作るスクリプトは以下。これを/etc/init.d/iptablesという名前で保存し、実行属性をつけておく。

# chmod +x /etc/init.d/iptables
# cat /etc/init.d/iptables
#!/bin/bash

IPTABLESSAVE=/sbin/iptables-save
IPTABLES=/sbin/iptables

$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t nat -Z
$IPTABLESSAVE > /etc/iptables.down.rules

#echo 1 > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22
#$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED
$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22 -m hashlimit --hashlimit 3/minute --hashlimit-burst 3 --hashlimit-name out_ssh --hashlimit-mode srcip,dstip --hashlimit-htable-expire 60000
$IPTABLES -A INPUT -j DROP -p tcp --dport 22
$IPTABLES -A INPUT -j ACCEPT -i lo
$IPTABLES -A INPUT -j ACCEPT -i eth1
$IPTABLES -A INPUT -j ACCEPT -i eth2
$IPTABLES -A INPUT -j ACCEPT -i eth3
$IPTABLES -A INPUT -j ACCEPT -i eth4

$IPTABLES -A OUTPUT -j DROP -o ppp0 -d 10.0.0.0/8
$IPTABLES -A OUTPUT -j DROP -o ppp0 -d 176.16.0.0/12
$IPTABLES -A OUTPUT -j DROP -o ppp0 -d 192.168.0.0/16
$IPTABLES -A OUTPUT -j DROP -o ppp0 -d 127.0.0.0/8

$IPTABLESSAVE > /etc/iptables.up.rules

exit

update-rc.dを使ってこのスクリプトを起動時に走らせる。

# update-rc.d iptables defaults
update-rc.d: warning: /etc/init.d/iptables missing LSB information
update-rc.d: see <http://wiki.debian.org/LSBInitScripts>
 Adding system startup for /etc/init.d/iptables ...
   /etc/rc0.d/K20iptables -> ../init.d/iptables
   /etc/rc1.d/K20iptables -> ../init.d/iptables
   /etc/rc6.d/K20iptables -> ../init.d/iptables
   /etc/rc2.d/S20iptables -> ../init.d/iptables
   /etc/rc3.d/S20iptables -> ../init.d/iptables
   /etc/rc4.d/S20iptables -> ../init.d/iptables
   /etc/rc5.d/S20iptables -> ../init.d/iptables

削除するには以下のようにする。

# update-rc.d -f iptables remove
 Removing any system startup links for /etc/init.d/iptables ...
   /etc/rc0.d/K20iptables
   /etc/rc1.d/K20iptables
   /etc/rc2.d/S20iptables
   /etc/rc3.d/S20iptables
   /etc/rc4.d/S20iptables
   /etc/rc5.d/S20iptables
   /etc/rc6.d/K20iptables

リファレンス

1. update-rc.d - Google 検索
2. Fulldigit - update-rc.dコマンド
3. [ThinkIT] 第3回：不必要な起動スクリプトの削除と起動プロセスとポートのチェック (1/2)
4. TIPS/Linux/chkconfigとupdate-rc.d - masami Wiki*

関連記事

linux

1. [linux] UnixBench 実行用スクリプト
2. [linux] badblocks を使ったディスクの破壊的チェック
3. [linux] 起動時のカーネル及びinitシステムメッセージをコンソールに表示。
4. [linux] vmstat と free の計算
5. [linux] ハードリンクの移動
6. [linux] kernel から perf interrupt took too long と言われる。
7. [linux] WD40EZRX が COMRESET failed (errno=-16) でお亡くなりになった
8. [linux] FD のエラーテスト
9. [linux] HDD に GPT パーティション作成、reserved block count を 0 で ext4 フォーマット
10. [eth] イーサネット、サーバアダプタの追加とか交換とか
11. [iptables] torrentクライアントをfirewallの内側で快適に使う方法
12. [linux] [irq][ath] イーサネットデバイスのIRQが衝突してるってどうよ。
13. [linux] ext3のhddの予約ブロックを減らし、ext4に変換、デフラグ
14. [linux] g3dataやgraceでスキャナーで画像として取り入れたグラフの数値化
15. [linux] swapパーティションを/homeにマウント
16. [linux] 入れ子状にマウントされたディスクの使用量をduで確認
17. [linux] nfsrootで使う。
18. [linux] Linuxのハブ
19. [linux] whoisコマンドとwhoisサービス
20. [linux] grepやlsをパイプしてlessを色付きで
21. [linux] nfsのレスポンスが遅くなり、set_rtc_mmss: can't update from ** to **のエラー
22. [date] W3CDTFフォーマットでdateコマンド
23. [linux] 今まで使っていたディレクトリをシンボリックリンクにする
24. [linux] CDやDVDをddやdvdbackupを使いiso形式でバックアップ
25. [linux] 空きメモリ確認はvmstatのfreeではなくfreeの-/+ buffers/cacheのfree
26. [linux] テキスト処理のカンニングペーパー
27. [linux] 終了しないプログラムを定期的に起動チェックして起動する。
28. [vnc] vncサーバの起動と接続
29. [linux] 異なるデバイスを跨いだ mv で inter-device move failed エラー
30. [linux] mv と cp の違い
31. [linux] date コマンドでUNIX時間をローカル時刻に変換する
32. [メモ] linuxサーバをブリッジにする。
33. [linux] md5sumでファイルの同一性チェック
34. [linux] wodimでコマンドラインからcdRWの消去とisoファイルの書き込み
35. [linux] muninで死活確認、監視など
36. [linux] fork爆弾をpkillで処理
37. [linux] プロセスの死活確認、シグナル0は生存確認
38. [linux] watch でコマンドを繰り返し実行、出力の違いを強調表示
39. [linux] while の無限ループでコマンドを繰り返し実行
40. [linux] linux - manで検索するには-kオプション
41. [linux] Ctrl+D(eof)とCtrl+C(intr)をcatコマンドのリダイレクトで実感
42. [linux] cat = concatenate
43. [linux] useraddとadduserの違いはディストリビューションに依存する。
44. [linux] useraddでホームディレクトリが作られないのは-m オプションがついていないから
45. [linux] gpasswdでグループ登録用のパスワード設定、ユーザのグループ登録
46. [linux] ディスク容量が余っていてもiノードが使い果たされているとファイルを作成できない。
47. [linux] suでユーザを変わる
48. [linux] kernel から Disabling IRQ と言われる。
49. [linux] テキスト処理のまとめ
50. [linux] zipで圧縮
51. [linux] grepの結果をパイプでlessに渡して、色を付ける
52. [linux] duでマウント先を辿らずに使用量チェックするには -x オプション
53. [linux] grep で and 検索(パイプ)、or 検索(連続 -e オプション)
54. [linux] grepで設定ファイルからコメントアウトと空行を削除
55. [メモ] ddしたあとは必ずdmesgをチェック。
56. [linux] PPPoEの接続が切れると復帰しない。ifdownとifupで解決
57. [linux] PPPoEの接続が切れると復帰しない。poffとponで解決
58. [linux] PPPoEの接続切断後に自動復帰の方法/etc/network/interfaces
59. [linux] su で変わったユーザのホームディレクトリに飛ぶには su - hoge する。
60. [linux] 任意のプログラムのログファイルを一般ユーザでlogrotateする。
61. [linux] seqコマンドで桁を揃えるには -w オプション
62. [linux] suでパスワード入力後、認証完了まで時間がかかる。
63. [linux] /var/log/auth.log に出る Unable to open env file: /etc/environment: No such file or directory というエラーメッセージは touch /etc/environment することで消える。
64. [linux] update-rc.dでマシン起動と終了時にiptablesルールスクリプトを走らせる。
65. [linux] umountのときにdevice is busyと言われたらumount -l
66. [linux] ジョブ管理システム。cronとかatのように指定時刻に起動するのではなくFIFOで一つ前のjobが終わったら次に進むようなもの
67. [linux] シェルスクリプトで無限ループさせるにはwhileの中で:かtrueを使う。
68. [linux] whoisとかしてみる
69. [linux] パイプ|は出力をバッファリングしない
70. [linux] ジョブキューシステムはジョブ管理システムと違うのかGearmanやTheSchwartzの話。
71. [linux] マルチメディアプレイヤーmplayerのフォークmplayer2
72. [linux] atdの-lオプションでマルチコア、マルチプロセッサ用のload factorを設定
73. [linux] atのジョブを全削除
74. [linux] tarでCannot connect to hoge:fuga.tar resolve failedエラーの解決法
75. [linux] perlの正規表現が使えるrenameコマンド
76. [linux] "sh -c"を使ってみる。
77. [linux] psで特定のプロセスのメモリ使用量を確認
78. [linux] ファイル検索するならfindの前にlocate
79. [linux] xz、bzip2、gzip の圧縮率、圧縮展開速度の比較
80. [linux] XP Homeの簡易ファイル共有ディレクトリをsmbfsマウントしてユーザ権限で読み書き
81. [linux] md5sumで文字列のチェックサム確認
82. [CAD] linuxで使える3D CADシステムの下調べ。
83. [linux] fetchmailの代替
84. [linux] ファイルやディレクトリの文字化けをconvmvで修正
85. [linux] 再帰的にファイルのパーミッションを変更
86. [linux] xargsでプログラムを並列起動することによる実行速度測定
87. [linux] ネットワークスピードをnetcatとddで測定する方法
88. [linux] fsck died with exit status 8
89. [iptables] ログからIPアドレスとMACアドレスに基づくdrop
90. [linux] pgrepとpkillでプロセスをフィルタリングして一括kill
91. [linux] cronからのメールが文字化けする場合はcrontabの先頭にCONTENT_TYPE=text/plain; charset=UTF-8
92. [bash] 定期的なディスク使用量監視
93. [linux] findとxargsとmvで高速ファイル移動
94. [linux] sshを使ってsftpマウント
95. [linux] ext2でフォーマットしたusbにgrubをインストールして、usbに入れたisoから起動
96. [linux] grubのディスクを作る
97. [linux] LiveCD等を作るときの参考文献
98. [linux] aptitudeで自動的にyesを選択させるには-y、設定の選択に自動的に回答するには--force-confnew
99. [linux] sedでn行目を削除
100. [linux] sedでログに含まれるプログレスバーの整形
101. [linux] liveCD等リンクまとめ
102. [linux] pngcrushでpngのメタ情報を削除
103. [linux] optipngでpngの最適化、ファイルサイズ縮小
104. [linux] super grub2 diskをfdで利用する
105. [wget] ftpからミラーリングダウンロード
106. [GRUB] HDDのヘッダではなくパーティションにインストールしたGRUBを起動する
107. [linux] swapper: page allocation failureを解決するにはvm.min_free_kbytesを設定
108. [linux] fast boot させない
109. [linux] find や xargs で柔軟にコマンドを実行するには {} を使う
110. [linux] wodim で CD の書き込みチェック (Verify)
111. [linux] badblocks で不良ブロックを有無を確認
112. [linux] 無線 LAN アクセスポイントになる
113. [linux] mvで同じファイル名のファイルを移動させないためには-nオプション
114. [linux] find で壊れたシンボリックリンクを探す
115. [linux] j-comiから交通事故鑑定人 環倫一郎のpdfをダウンロード
116. [linux] 簡単なジョブスケジューラ
117. [linux] atとrlwrapを組み合わせて使う
118. [linux] hddの速度が遅すぎ
119. [linux] 標準出力に含まれるキーワードをsedで色付け
120. [linux] コマンド出力にタイムスタンプをつける

iptables

1. [iptables] 設定後に期待通り動作するかチェックするには
2. [iptables] ファイヤーウォールを外す
3. [iptables] pingのチェック
4. [iptables] 22番ポートへのアクセスのみを許可
5. [iptables] サーバのをiptablesでNATルータ化する
6. [ntp] 時刻サーバを導入
7. [iptables] torrentクライアントをfirewallの内側で快適に使う方法
8. [iptables] nat 越えの ssl/tsl 接続を ftp over ssl (ftps) で行う方法
9. [linux] update-rc.dでマシン起動と終了時にiptablesルールスクリプトを走らせる。
10. [iptables] ログからIPアドレスとMACアドレスに基づくdrop
11. [debian] iptables-persistent で iptables の設定を正しくリストア

ソーシャルブックマーク

1. はてなブックマーク
2. Google Bookmarks
3. del.icio.us

日付の近い記事

1. [linux] /var/log/auth.log に出る Unable to open env file: /etc/environment: No such file or directory というエラーメッセージは touch /etc/environment することで消える。
2. [debian] ファイル名の後にdpkg-distが付くファイルはパッケージ謹製ファイル
3. [screen] defnonblockを有効化する。
4. [bash] 環境変数を表示(echo,env)、有効化(export)、設定変更(export)、無効化(unset)
5. [emacs] デーモンモード(emacs --daemon)で起動し、クライアント(emacsclient -c)を起動。
6. [linux] update-rc.dでマシン起動と終了時にiptablesルールスクリプトを走らせる。
7. [CalDAV] lightningで複数アカウントのパスワードを記録させる
8. [wanderlust] gmailのmail fetcherがつけるヘッダをforwardするときに削除する。
9. [gmail] gmailの非公開検索式"DeliveredTo:"
10. [linux] umountのときにdevice is busyと言われたらumount -l
11. [perl] lwpでコンテンツを取得するときに"500 Can't verify SSL peers without knowning which Certificate Authorities to trust"というエラーが出たらMozilla::CAをインストール

ChangeLog

1. Posted: 2009-10-16T20:06:48+09:00
2. Modified: 2009-10-16T20:06:48+09:00
3. Generated: 2024-11-18T23:09:18+09:00