いくらルータを使用しているからといっても、サーバ側に壁は必要だ。
アジアな国からのアクセスを禁止したり
公開しているサービス以外はポートを閉じたりしておきたい。
そもそも、ポートフォワーディングを利用しているルータは
ローカルからの通信がない場合は壁になってくれるが、
通信時にポートが開くのでタイミングが悪いと外部から素通りしてしまう。
サーバ側に対してクライアント側のポート番号は通信時まで不明なので、
自宅で共有しているルータでLAN->WANの設定を無闇には遮断できない。
つまり最終的には、サーバやクライアント本体で自衛しなければならない。
で、ただポートを閉じるだけなら普通に遮断すれば良いのだが
ネットワークは生きているので過去の情報がどんどん役に立たなくなってしまう。
つまり本格的に設定する場合は、フィルタを動的に更新する必要がある。
そのため設定用のスクリプトを書き、cronで定期的に更新する。
そこらの詳しい部分は色々なサイトで紹介されているので割愛する。
iptablesの設定がうまく行かんとか思ってたら、
Debian etchはこれまた特殊な仕組みだった。
/etc/init.d/iptables は存在しないのだ。
おそらく、iptablesを動かすスクリプトがあるとしても
名前を変えてあって、別のパスに用意されているものと思われる。
Debian流の効率的な処置というやつだろう
ちょっとこれは考えないといかんので調査したらまた書く。