図1 ポート20とポート21の通信を破棄してFTPの接続を制限した画面
[画像のクリックで拡大表示]
図2 INPUTテーブルで破棄しているパケットが増えていることを確認した画面
[画像のクリックで拡大表示]
iptables -A INPUT -p tcp --dport 20 -j DROP
iptables -A INPUT -p tcp --dport 21 -j DROP
ファイルをやりとりするためにFTPサーバーを使うことはよくあります。そのような場合でもセキュリティを確保するために,必要なネットワーク以外にはFTPのアクセスを許さないようにINPUTテーブルに設定を追加したほうがいいでしょう。そのような場合は,iptablesコマンドを使って設定します。具体的には,ポート20とポート21あてのパケットについては破棄するように設定します。
ただし,必要なネットワークからのアクセスについては,例外として許可する必要があります。図1の場合は,「10.161.176.0/24」ネットワークからのパケットについては,例外として処理するように設定しています。
この設定後に,許可されていないネットワークからのFTP接続があると,ルールに基づいて処理され破棄されたたパケット/バイト(pkts/bytes)カウントが上がっているのが分かります(図2)。
