Linuxに実装されたファイアウオール機能のiptablsについてのサンプルです。
Linuxに実装されたファイアウオール機能です。Linuxカーネル2.4以降に組み込まれています。
iptablesでは、コンピュータがやり取りするパケットを、あらかじめ定義しておいた「チェイン」単位に分類し、
チェインごとにどのような処理を行うかを「ルール」として設定します。
主なLinuxディストリビューションでは、次の3種類のチェインが標準で用意されています(図1)。
・INPUT
(サーバーへ到達するパケット)
・FORWARD
(サーバーを通過するパケット)
・OUTPUT
(サーバーから送出するパケット)
ユーザーが新しいチェインを追加することもできます。
ルールでは、パケットの送出元(ソース・アドレス)やパケットのあて先(ディスティネーション・アドレス)などを指定し、
該当するパケットに対し、どのような処理を行うかを指定します。処理には、パケットを破棄する「DROP」、拒否パケットを送出する「REJECT」、
許可をする「ACCEPT」などを指定します。
■サービス
・サービスの起動
/etc/init.d/iptables start
・サービスの停止
/etc/init.d/iptables stop
・サービスの再起動
/etc/init.d/iptables restart
→/etc/sysconfig/iptablesから設定を読み込みます。
・設定の保存
/etc/init.d/iptables save
→/etc/sysconfig/iptablesに保存されます。
・設定の確認
/etc/init.d/iptables status
■iptablesコマンド
コマンドで実行すると即座に設定が反映されます。
セーブしないと、システムの再起動時にクリアされます。
※/etc/sysconfig/iptablesを読み込んでいるため
/sbin/iptables -F ルール削除
→こちらのコマンドかなり強力です。発行後つながらなくなる可能性があるのでリモートからの単発での実行は危険。
/sbin/iptables -X チェイン削除
/sbin/iptables -Z カウンタをゼロに初期化
/sbin/iptables -L 設定の確認
/sbin/iptables -t filter -L –line-numbers filterテーブルの情報を表示
/sbin/iptables -t filter -D INPUT [num] filterテーブルからnum番を削除
■/sbin/sysconfig/iptablesについて
手動で設定変更することが可能です。
変更した際はサービスの再起動が必要です。
コマンドについて、もっとくわしく
http://manpages.ubuntu.com/manpages/gutsy/ja/man8/iptables.8.html