Security チップス
iptables(カーネルの設定)
iptablesを使用する際、カーネルの設定が必要となります。ただ、最近のディストリビューションはデフォルトでipatblesに必要な機能をほとんど網羅している可能性はあります。カーネルを新しいバージョンにコンパイルしなおすようなケースでは、意識する必要はあるかもしれません。参考程度に読んでください。
NIC間の転送許可
OSのパケットフォワーディングを有効にします。これによりNICからNICへの転送処理が可能になります。NAT変換(IPマスカレード)するためには必要です。
# echo 1 > /proc/sys/net/ipv4/ip_forward
IP Spoofingの防御
IPアドレスの偽装(なりすまし)に対処する機能をONにします。
# echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
DHCP対応
WAN側のNICがDHCPで動的に割り当てられている場合、それに応じて処理を行います。(WAN側のNICが固定なら必要ありません)
# echo 1 > /proc/sys/net/ipv4/ip_dynaddr
SYN Flood攻撃への対応
SYN Flood攻撃に対処できる機能をONにします。
# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Broadcast Pingの無視
ブロードキャストアドレスへのPingを無視する機能です。
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
偽のエラーレスポンスの無視
WAN側のNICがDHCPで動的に割り当てられている場合、それに応じて処理を行います。(WAN側のNICが固定なら必要ありません)
# echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
