パケットフィルタリング iptables 202

/ LPIC / Comment[0]
パケットフィルタリングを行う箇所は3つある。
 ・INPUTチェイン
 ・OUTPUTチェイン
 ・FORWARDチェイン


チェインのセットをテーブルという
 filterテーブル デフォルト
 natテーブル 新しい接続を開くパケット
 mangleテーブル 変換されるパケット

filterテーブルのデフォルトチェイン
 INPUT
 OUTPUT
 FORWARD

natテーブルのデフォルトチェイン
 PREROUTING
 POSTROUTING
 OUTPUT

mangleテーブルのデフォルトチェイン
 INPUT
 OUTPUT
 FORWARD
 PREROUTING
 POSTROUTING



iptablesコマンド

 # iptables コマンド オプション チェイン ルール|ターゲット

オプション
 -v 詳細に表示
 -n 数値で表示
 --line-numbers ルール番号を表示

コマンド
 -A チェインの最後にルールを追加
 -D チェインからルールを削除
 -P チェインのポリシーを変更
 -L ルールのリストを表示
 -N ユーザ定義チェインを作成
 -X ユーザ定義チェインを削除
 -F 指定したチェイン内のルールを全て削除
 -l ルール番号を指定してルールを挿入

チェイン
 INPUT 入力パケット
 OUTPUT 出力パケット
 FORWARD 転送パケット
 PREROUTING 入力パケットを変換
 POSTROUTING 出力パケットを変換

ターゲット
 ACCEPT 許可
 REJECT 相手に拒否を通知
 DROP 破棄
 MASQUERADE 送信元IPアドレスとポート番号の変換
 SNAT 送信元IPアドレスの変換
 DNAT 送信先IPアドレスの変換
 LOG ログ出力

ルール
 -s 送信元IPアドレス
 -d 送信先IPアドレス
 --sport 送信元ポート番号
 --dport 送信先ポート番号
 -j ターゲット
 -p プロトコル
 -i 入力インターフェース
 -o 出力インターフェース


192.168.1.2からのICMPプロトコルpingなどに返答しない
# iptables -A INPUT -p icmp -s 192.168.1.2 -j DROP

プレフィックスを付けてログ出力
# iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH now "
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可