読者です 読者をやめる 読者になる 読者になる

やみくもに iptables を許している

たとえば smtp をホストの外から受けようと思うと、

sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT

とすればいいだけ!!なのだが、やみくもに sport の 25 も ACCEPT しようとしている人がいるのを見かけた。こうすると、該当ホストで例えば 10000 番で listen していても、iptables の設定がきいていてホストの外からは connect できない。(なかからはできる)が、上の、sport の 25 の ACCEPT を許してしまうと 10000 番のサービスに、外のホストのソースのポートを 25 番に bind してから connect すると、”つながってしまう!!”。これは当初の smtp をホストの外から受けるという目的から外れて、単なるセキュリティホールを作るだけ。

こうしてはいけません!!!(念のために確認してみた。セキュリティホールになることを確認した。

google でそういうことをしている記事を検索してみよう。

https://www.google.co.jp/search?sourceid=navclient&aq=&oq=sudo+iptables+-A+INPUT+-p+tcp+--sport+25+-j+ACCEPT&hl=ja&ie=UTF-8&rlz=1T4GGNI_jaJP606JP606&q=sudo+iptables+-A+INPUT+-p+tcp+--sport+25+-j+ACCEPT&gs_l=hp....0.0.0.4313...........0.xbXh9ctalpA#hl=ja&q=%22iptables+-A+INPUT+-p+tcp+--sport+25+-j+ACCEPT%22