1つのドメインへのHTTPトラフィックのみを許可するiptablesルール

serverfault.comとの間でのみHTTPトラフィックを許可するようにマシンを構成する必要があります。他のすべてのWebサイト、サービスポートにはアクセスできません。これらのiptablesルールを思いつきました。

#drop everything
iptables -P INPUT DROP
iptables -P OUTPUT DROP

#Now, allow connection to website serverfault.com on port 80
iptables -A OUTPUT -p tcp -d serverfault.com --dport 80 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#allow loopback
iptables -I INPUT 1 -i lo -j ACCEPT

それはあまりうまくいきません：

• すべてをドロップした後、ルール3に進みます。

  iptables -A出力-p tcp -d serverfault.com --dport 80 -j ACCEPT

私はこのエラーを受け取ります：

iptables v1.4.4: host/network `serverfault.com' not found
Try `iptables -h' or 'iptables --help' for more information.

DNSに関連すると思いますか？同様に許可する必要がありますか？または、ルールにIPアドレスを入れるだけですか？私がやろうとしていることは、より簡単なルールで達成できると思いますか？どうやって？

これに関する助けやヒントをいただければ幸いです。どうもありがとう！

IPTablesルールでは、順序が重要です。ルールが順番に追加され、適用されます。また、ルールを手動で追加すると、すぐに適用されます。したがって、例では、INPUTおよびOUTPUTチェーンを通過するパケットは、デフォルトポリシーが設定されるとすぐにドロップされ始めます。これは、偶然にも、エラーメッセージを受け取った理由です。何が起こっているのですか？

1. デフォルトのDROPポリシーが適用されます
2. IPTablesは宛先としてホスト名を受け取ります
3. IPTablesは「serverfault.com」でDNSルックアップを試行します
4. DNSルックアップはDROPアクションによってブロックされています

送信元/宛先オプションはホスト名を受け入れますが、強くお勧めしません。マニュアルページを引用するには、

ホスト名は、ルールがカーネルに送信される前に一度だけ解決されます。DNSなどのリモートクエリで解決する名前を指定することは、非常に悪い考えです。

Slillibriは、彼の答えであるDNS ACCEPTルールを逃した頭に釘を打ちました。あなたの場合、それは重要ではありませんが、通常はプロセスの後半でデフォルトのポリシーを設定します。最後にしたいことは、リモートで作業し、デフォルトの拒否をオンにした後で SSHを許可することです。

また、ディストリビューションによっては、ファイアウォールルールを保存して、開始時に自動的に適用されるようにする必要があります。

それをすべて知って、スクリプトを整理し直して、ここでお勧めします。

# Allow loopback
iptables -I INPUT 1 -i lo -j ACCEPT

# Allow DNS
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

# Now, allow connection to website serverfault.com on port 80
iptables -A OUTPUT -p tcp -d serverfault.com --dport 80 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Drop everything
iptables -P INPUT DROP
iptables -P OUTPUT DROP

追加する

iptables -A OUPUT -p udp --dport 53 -j ACCEPT

DNSルックアップを許可します。

この種の要件は、Webプロキシまたはフィルタ、あるいはその両方でより適切に処理される場合があります。これを行うようにDansgaurdianを構成できます。NATルールを使用して、トラフィックをフィルターに強制的に通す必要があります。

iptablesを使用してフィルタリングすると、関連するIPアドレスから利用可能なサイトが許可されます。これは通常、Web全体の小さなサブセットです。

iptablesはこのレベルでは動作しないのではないかと心配しています。ホスト名ではなく、IPアドレスのみを考慮します。同じIP上の他の名前の仮想ホストへのアクセスをブロックする場合は、.htaccessファイルの配置を検討する必要があります。

ウェブサーバーでこれを設定する必要があります。iptablesはパケットフィルターです。HTTPトランザクションは、TCPペイロードの一部として（つまり、iptablesが簡単に読み取るTCPヘッダーの一部としてではなく）サイト名（つまり、stackoverflow）を送信します。

それと、HTTPトランザクションが複数のパケットにほぼ確実に拡散するという事実（つまり、HTTPヘッダー内の文字列と一致させることはできません）を考えると、これはWebサーバー構成またはフロントのプロキシによってはるかに適切に処理されますそれの。

この背後にある理由を知っておくと便利です。他にもいくつかの選択肢があります。

1. 間違ったURLを入力した場合は正しいURLにリダイレクトします（www.stackoverflow.comを入力した場合はstackoverflow.comにリダイレクトします）
2. stackoverflow.com以外のホストにサービスを提供しないようにWebサーバーに指示します
3. 他の何も解決しない別のIPにサイトを配置し、Webサーバーがそれをリッスンするようにします。