<html>
<title>iptablesの概要</title>
<body>
<font color=coral>
<b>ルールとターゲットそしてチェイン</b><br>
</font>
Iptablesはパケットフィルタリングを管理するNetfilterのテーブルを設定管理するツールである<br>
*IptablesはパケットフィルタリングだけじゃなくNATやIPマスカレードのようなアドレス変換に対しても設定管理します
<PRE>
基本的なターゲット(パケットの取扱い)
ACCEPT
パケットの受入れ
DROP
パケットの破棄
REDIRECT
パケットを指定したポートに転送する
REJECT
パケットを破棄する DROPとの違いはICMPパケットをちゃんと送るところ
RETURN
チェイン内の残りのルールを評価しない?ようわからん
DENY
指定したアドレスからのパケットは全部許否
チェインとは
ルールを用途別にまとめたもの
組込みチェイン(built-in chain)とは
デフォルトでは組込みチェインと呼ばれるものがいくつか用意されている
INPUT
コンピューターに入ってくるパケットに関するチェイン
OUTPUT
INPUTと逆で出て行くパケットの為のチェイン
FORWARD
転送するパケットのためのチェイン
PREROUTING
受信したパケットのアドレス変換を設定するためのチェイン
POSTROUTING
送信するパケットのアドレス変換を設定するためのチェイン
Netfilter(iptable)には三つのテーブルがある
1 Filter
パケットフィルタリングのテーブル
2 Nat
アドレス変換の為のテーブル
3 Mangle
特別なパケット変換に使われるテーブル?
Filterは
INPUT,FORWARD,OUTPUTが含まれている
出入りでパケットフィルターをするわけだからINだけでは不十分
FORWARDはローカルドメインのなかでどこに配送するかをここで決定するのだろう
NATには
PREROUTINGとPOSTROUTINGとOUTPUTが含まれる
受信したパケットをプライベートアドレスに変えるPREROUTING
そして送信するときのアドレスをグローバルに変えるためのPOSTROUTING
OUTPUTで変換するということであろう
ポリシーとは
ルールがひとつもないチェインにはポリシーと呼ばれるもので
パケットを破棄するか受け入れるかを決定する
初期値はACCEPTなので全部うけれちゃいます
他に破棄するDROP、転送するREDIRECTに変更できます
IPtablesを使用したファイアウォール
パケットフィルタリング型のファイアーウォールは二つのタイプにわけられる
1 クライアントマシン上でのパケットフィルタリング
これはウィンドウズXPなどのホストでおこなわれている
コンピューター自体への不正進入を防ぐ
2 ルータマシン上でのパケットフィルタリング
ルータで設定する
外部ネットワークから内部ネットワークへの進入を防ぐ
*ベストとしては両方をあわせるべき
Iptablesのサービス
Load additional iptables modules (nat helpers)
# Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="ip_conntrack_netbios_ns"
# Unload modules on restart and stop
# Value: yes|no, default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"
# Save current firewall rules on stop.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"
# Save current firewall rules on restart.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"
# Save (and restore) rule and chain counter.
# Value: yes|no, default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"
# Numeric status output
# Value: yes|no, default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"
</PRE>
<table border=1>
<caption>DNSのフィルター</caption>
<tr><th colspan=3>IP</th><th colspan=2>TCP</th><th rowspan=2>I/O</th><th rowspan=2>動作</th></tr>
<tr><td>SA</td><td>DA</td><td>prot</td><td>SP</td><td>DP</td></tr>
<tr><td>自分</td><td>DNSサーバー</td><td>UDP</td><td>unknown</td><td>53</td><td>OUT</td><td>ACCEPT</td></tr>
<tr><td>DNSサーバー</td><td>自分</td><td>UDP</td><td>53</td><td>unknown</td><td>IN</td><td>ACCEPT</td></tr>
</table>
<a href="s.html">戻る</a>
</body>
<html>
最終更新:2008年03月06日 14:49