読者です 読者をやめる 読者になる 読者になる

iptablesの設定

マニュアル的なもの


filter: -t オプションが指定されない場合のデフォルトのテーブル。
nat: 新しい接続を開くようなパケットに対して参照される。
Linuxをルータとして利用する場合には重要。
mangle: 特別なパケット変換に使われる。

iptableではチェインごとに通信を制御する。
主なチェインは以下の通り。
チェイン 説明
INPUT 入力されるパケット
OUTPUT 出力されるパケット
FORWARD 転送するパケット

ルール時に使用する主なパラメータは以下の通り。
ターゲット 説明
ACCEPT 許可
DROP 廃棄
REJECT 拒否(接続元に通知)

iptableコマンドに対してのオプションのコマンドで主なものは以下の通り。
コマンド 説明

  • A チェインの最後にルールを追加する。
  • D チェインのルールを削除する。
  • I ルール番号を指定してチェインにルールを挿入する。

ルール番号が省略された場合、先頭に挿入する。

  • R チェインのルールを置換する。
  • L チェインのルールを表示する。
  • F チェインのルールを全て削除する。
  • Z すべてのチェインのパケットカウンタとバイトカウンタをゼロにする
  • N ユーザ定義チェインを作成する。
  • X ユーザ定義チェインを削除する。
  • P チェインのポリシーを設定する。
  • E ユーザ定義チェインの名前を変更する。

ルール時に使用する主なパラメータは以下の通り。
パラメータ 説明

  • s 送信元
  • d 送信先
  • p プロトコル
    • sport 送信元ポート
    • dport 送信先ポート
  • j ルールのターゲット
  • i 受信するインタフェース
  • o 送信するインタフェース
  • c パケットカウンタとバイトカウンタを初期化する
  • v 詳細な出力を表示する
  • n IPアドレスやポート番号を数値で表示する
  • x 厳密な数値で表示する
  • m または --match でパケットマッチングモジュールを利用することが出来る。

利用できる主なものは以下の通り。
なお、ここでは一部しか記述していないが、大部分のものは ! を前に記述することにより、条件を逆に出来る。
パラメータ 説明

    • limit 単位時間あたりの平均マッチ回数の最大値。

/second、/minute、/hour、/day が利用出来る。
デフォルトは 3/hour。

    • limit-burst パケットがマッチする回数の最大初期値。

デフォルトは5。

あー、設定しないとな。