iptables

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter

#------------------------------------------------------------
# 用語の統一
# ACCEPT : 許可
# DROP   : 破棄
# REJECT : 拒否
#--------------------
# INPUT   : サーバに入ってくる通信に対する制御を行います
# FORWARD : サーバを経由する通信に対する制御を行います
# OUTPUT  : サーバから出て行く通信に対する制御を行います
#------------------------------------------------------------

# ポリシーの設定
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

# ローカルホスト
-A INPUT -i lo -j ACCEPT

# セッション確立後のパケット疎通は許可
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 空パケットを破棄
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# SYNflood攻撃と思われる接続を破棄
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# ステルススキャンと思われる接続を破棄
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP

# ICMP攻撃対策
-A INPUT -p icmp --icmp-type echo-request -m hashlimit --hashlimit-name t_icmp --hashlimit 1/m --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-htable-expire 120000 -j ACCEPT

# ICMP: ping に応答する設定
-A INPUT -p icmp -j ACCEPT

# SSH 2分間に同一IPアドレスから10回接続要求があると不正接続とみなし、新しい接続要求を2分間拒否
# -m hashlimit                     hashlimitモジュールを使用する
# —hashlimit-name t_sshd           記録するファイル名
# —hashlimit 1/m                   リミット時には1分間に1パケットを上限とする
# —hashlimit-burst 10              規定時間内に10パケット受信すればリミットを有効にする
# —hashlimit-mode srcip            ソースIPを元にアクセスを制限する
# —hashlimit-htable-expire 120000  リミットの有効期間。単位はms
-A INPUT -p tcp -m state --syn --state NEW --dport 2234 -m hashlimit --hashlimit-name t_sshd --hashlimit 1/m --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-htable-expire 120000 -j ACCEPT
#-A INPUT -p tcp -m state --state NEW -m tcp --dport 2234 -j ACCEPT


# 前述までに通信許可したポート以外の通信を拒否
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT