iptables のアクセス制限を緩和

先日iptablesの制限を強化したところ、公開サーバーのアクセスが極端に少なくなり、面白みに欠ける状態になったため、今回一部緩和しました。

・ブログ「海辺の放浪記」の公開停止
その代償として、20年以上続けていたブログ「海辺の放浪記」は、特定者からしつこくアクセスされ、古い記事まで大量に取得される動きがあったため、公開停止としました。

「海辺の放浪記」は既に更新を停止し、当ブログに引き継いでいます。
この公開停止には、過去をきっぱり忘れるという意味も込めています。

・iptables 運用の本質は「観察」
設定を見直していて改めて気づいたのですが、私にとってブログ等を公開するよりも、毎日ログを読むことが最も重要な目的だったのだと理解しました。

今回の記事は、その “観察対象” でもある iptables の現行フィルタリングルールを、番号ごとに解説した備忘録です。

・INPUT ルール解説
既存通信 (RELATED, ESTABLISHED) の全面許可

戻りパケットはすべて通す。基本中の基本。

LAN（br0）からのアクセスを許可

LAN 内は信頼できるため、広めに許可。

FireHOL Level1?3 の悪性 IP の DROP (ルール3?5)

ppp0（WAN）からのアクセスをチェックし、ブラックリストに載っている IP を即時 DROP。
ここは今後も厳格に運用します。

IPsec（UDP 500 / 4500）の許可 (ルール6?7)

VPN 用。必要最低限のポートのみ開放。

lo（ループバック）の許可 (ルール8)

ローカルプロセス連携に必要。

・FORWARD ルール解説（要点のみ）
RELATED, ESTABLISHED の許可

FireHOL IP を br0 側へ通さない (ルール2?4)

Windows ファイル共有（137?139 / 445）や portmap（111）を完全ブロック (ルール5?10)

LAN 192.168.1.0/24 → ppp0 の通信を許可 (ルール11)

jpnet（日本のアドレス帯）からの SSH を許可 (ルール12)

SSH それ以外は即 DROP (ルール13)

受信ポート（25 / 80 / 443 / 587 / 993）を WAN → LAN に転送 (ルール14?18)

Web・メール用途のみ最小限開放。

・OUTPUT チェーン
Chain OUTPUT (policy ACCEPT 1042 packets, 102K bytes)
1 0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
特に制限なし。lo の許可のみ。

まとめ：公開よりも「眺める」ための iptables
アクセスが極端に少ない状態で iptables を厳しくしすぎるのは良くないと考え、今回は制限を緩和しました。

しかし設定を見直していて改めて気づいたのは、やはりログを眺めるのが一番楽しいということです。

不審な IP を発見したり、FireHOL がどの程度機能しているか観察したり、ログの“動き”を見るのが、この趣味の本質でした。

今後も “適度に通しつつ、悪質は落とす” というバランス運用を続けていく予定です。