iptablesを使って特定のネットワークアプリケーションをブロックする：Leverage OSS（2/2 ページ）

[Sergio-Gonzalez-Duran，Open Tech Press]

　ネットワークアプリケーションはほかにも数多く存在するので、同じ1つのファイルの中でさまざまなポート番号やIPアドレスを扱うようにスクリプトを改良することもできる。設定ファイル（ファイル名はip_ports_blockedとする）は以下のようなものにすることができる。

# さまざまなアプリケーションに関してブロックするIPアドレス

# ********************************

# MSN messenger

# 営業部 第2オフィス

192.168.100.10:1863

# 経理部（全体）

192.168.100.23:1863

192.168.100.24:1863

192.168.100.25:1863

# 製造部A棟

192.168.100.50:1863

# mysql

# 営業部 第2、第6オフィス

192.168.100.10:3306

192.168.100.11:3306

　以下に、ip_ports_blockedを処理するように変更したスクリプトを示す。

grep -v "#" /your/path/ip_ports_blocked | sed -e '/^$/d' > /tmp/temp


while read row ; do
    IP=`echo $row | cut -d":" -f1`
    PORT=`echo $row | cut -d":" -f2`
    /sbin/iptables -t mangle -A PREROUTING -s $IP -p tcp --dport $PORT -j DROP
done < /tmp/temp

　ITマネジャーはこのテクニックを使うことで、社員が不必要なネットワープアプリケーションで時間を浪費しないようにすることができる。プロキシを使用しなくても、MSN Messengerなどのアプリケーションを1つだけブロックするスクリプトや複数のアプリケーションをブロックするスクリプトを必要に応じて使用すればよいだろう。

Sergio Gonzalez DuranはLinux管理者、システム開発者、ネットワークセキュリティカウンセラー。Linux教育コースも担当し、スペイン語のLinux／オープンソースWebサイトlinuxtotal.com.mxを運営している。

原文へのリンク