iptablesについて

Linuxに実装されたファイアウオール機能のiptablsについてのサンプルです。


Linuxに実装されたファイアウオール機能です。Linuxカーネル2.4以降に組み込まれています。

iptablesでは、コンピュータがやり取りするパケットを、あらかじめ定義しておいた「チェイン」単位に分類し、
チェインごとにどのような処理を行うかを「ルール」として設定します。

主なLinuxディストリビューションでは、次の3種類のチェインが標準で用意されています(図1)。

・INPUT
(サーバーへ到達するパケット)

・FORWARD
(サーバーを通過するパケット)
・OUTPUT
(サーバーから送出するパケット)
ユーザーが新しいチェインを追加することもできます。

ルールでは、パケットの送出元(ソース・アドレス)やパケットのあて先(ディスティネーション・アドレス)などを指定し、
該当するパケットに対し、どのような処理を行うかを指定します。処理には、パケットを破棄する「DROP」、拒否パケットを送出する「REJECT」、
許可をする「ACCEPT」などを指定します。

0001

■サービス
・サービスの起動
/etc/init.d/iptables start

・サービスの停止
/etc/init.d/iptables stop

・サービスの再起動
/etc/init.d/iptables restart
→/etc/sysconfig/iptablesから設定を読み込みます。

・設定の保存
/etc/init.d/iptables save
→/etc/sysconfig/iptablesに保存されます。

・設定の確認
/etc/init.d/iptables status

■iptablesコマンド
コマンドで実行すると即座に設定が反映されます。
セーブしないと、システムの再起動時にクリアされます。
※/etc/sysconfig/iptablesを読み込んでいるため

/sbin/iptables -F ルール削除
→こちらのコマンドかなり強力です。発行後つながらなくなる可能性があるのでリモートからの単発での実行は危険。
/sbin/iptables -X チェイン削除
/sbin/iptables -Z カウンタをゼロに初期化
/sbin/iptables -L 設定の確認
/sbin/iptables -t filter -L –line-numbers filterテーブルの情報を表示
/sbin/iptables -t filter -D INPUT [num] filterテーブルからnum番を削除

■/sbin/sysconfig/iptablesについて
手動で設定変更することが可能です。
変更した際はサービスの再起動が必要です。

コマンドについて、もっとくわしく

http://manpages.ubuntu.com/manpages/gutsy/ja/man8/iptables.8.html


Bookmark this on Yahoo Bookmark
Bookmark this on Google Bookmarks
Share on LinkedIn
LINEで送る
Pocket