Linux Memo/iptables
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
開始行:
*iptables [#v463bb39]
RIGHT:更新日&lastmod();
**CentOSでのNATの設定 [#ade7eb01]
/etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed Sep 21 22:14:...
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [11:1476]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -...
-A INPUT -j REJECT --reject-with icmp-host-prohibited
# FORWARDをLAN(eth0:1)からWAN(eth0)に許可(インターフェイ...
##-A FORWARD -i eth0:1 -j ACCEPT
##-A FORWARD -o eth0 -j ACCEPT
# それ以外はFORWARD拒否
##-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Sep 21 22:14:47 2011
# Generated by iptables-save v1.4.7 on Wed Sep 21 22:14:...
*nat
:PREROUTING ACCEPT [1:60]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:108]
# MASQUERADEの設定
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Sep 21 22:14:47 2011
''確認コマンド''
# /sbin/iptables-save
''FORWORDの設定コマンド''
# echo 1 > /proc/sys/net/ipv4/ip_forward
# /sbin/modprobe iptable_nat
ip_forwardは「/etc/sysctl.conf」に書き込み次のコマンドで...
# sysctl -p
**ネットワーク、IPの追加 [#m6eaefa9]
&color(red){エイリアス等でネットワークやIPを追加するとき...
**pptpパススルー [#t0ef8f43]
iptablesでは内部LANのpptpクライアントから外部のpptpサーバ...
''構成図''
----------------- eth0:1----------
|pptpクライアント|==============| GW |
------------------ |eth0 | |
| ---------- -------...
|======================|WAN ...
-------...
''設定方法''
# /sbin/ifconfig eth0:1 10.99.99.98
# /sbin/modprobe iptable_nat
# /sbin/modprobe ip_nat_pptp <==このモジュール(pptpパ...
# echo 1 > /proc/sys/net/ipv4/ip_forward
# /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUE...
''スプーフィング対策としてカーネルパラメータのrp_filterを...
送信アドレスの偽装を防ぐらしい。
# echo 1 >/proc/sys/net/ipv4/conf/eth1/rp_filter
# echo 1 >/proc/sys/net/ipv4/conf/eth0/rp_filter
''確認''
# /sbin/lsmod
Module Size Used by
ipt_MASQUERADE 7680 1
ip_nat_pptp 10244 0
ip_conntrack_pptp 14736 1 ip_nat_pptp
iptable_nat 12036 1
ip_nat 21548 3 ipt_MASQUERADE,ip_nat_pp...
ip_tables 17108 1 iptable_nat
ip_conntrack 52568 5 ipt_MASQUERADE,ip_nat_pp...
nfnetlink 10520 2 ip_nat,ip_conntrack
x_tables 16644 3 ipt_MASQUERADE,iptable_n...
(略)
**ファイアウォール [#q5c0284c]
Vine4.xでは、iptablesがファイアウォールとしてインストール...
設定は/etc/sysconfig/iptablesにあるのでそれを以下のように...
ACCEPT tcp -- anywhere anywhere ...
ACCEPT tcp -- anywhere anywhere ...
しかしこれだけだとX上のユーティリティに反映されないので以...
/etc/sysconfig/system-config-securitylevel
# system-config-securitylevel config written out by anac...
-f
--enabled
--port=22:tcp
--port=80:tcp
--port=443:tcp <==追加
--port=25:tcp
&color(red){変更後 /etc/rc.d/init.d/iptables restart後はM...
**環境 [#m73e8b55]
インストールするマシンは以下ようなネット接続で G/Wおよび...
よって、ローカル側からはipマスカレードを利用しインターネ...
---------
(インターネット)<------>(eth1)| G/W |(eth0)<----->(...
---------
**ipchainsの停止 [#q2093208]
ipchainsが動作しているときはこれを停止する
# /sbin/lsmod (確認コマンド)
sis900 11264 1 (autoclean)
ipchains 38976 0 (unused)
^^^^^^^^<-ipchainsが動作している
usb-uhci 20720 0 (unused)
# /sbin/rmmod ipchains (停止コマンド)
起動時に動作させないようように
# /sbin/chkconfig --list (確認コマンド)
apmd 0:オフ 1:オフ 2:オン 3:オン 4:オン ...
ipchains 0:オフ 1:オフ 2:オン 3:オン 4:オン ...
^^^^^^^^^^^^^^^^^^^^^^^^...
iptables 0:オフ 1:オフ 2:オン 3:オン 4:オン ...
identd 0:オフ 1:オフ 2:オフ 3:オフ 4:オフ ...
# /sbin/chkconfig --del ipchains (起動時起動しないように...
**iptablesの起動および設定 [#z8c62fc3]
以下のようなスクリプトを実行
#!/bin/sh
##nat用モジュールをロードする
/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
##テーブルの条件を初期化する(ただしポリシーは変更できな...
|テーブル名 |チェイン名 |
|filter |INPUT |
|~|OUTPUT |
|~|FORWARD |
|nat |OUTPUT |
|~|PREROUTING |
|~|POSTROUTING |
|チェイン名 |説明 |
|INPUT |受信したパケットに対するチェイン |
|OUTPUT |送信したパケットに対するチェイン |
|FORWARD |対象サーバを経由するパケットに対するチェイン |
|PREROUTING |受信時にパケットのアドレス変換をするチェイン |
|POSTROUTING |送信時にパケットのアドレス変換をするチェイ...
# /sbin/iptables -t filter -F FORWARD <--FORWARDの初期化
# /sbin/iptables -t filter -F INPUT <--INPUTの初期化
# /sbin/iptables -t nat -F POSTROUTING <--POSTROUTINGの...
全ての初期化なら
/sbin/iptables -F
でよい
##ipマスカレードの設定(&color(red){LAN側[eth0]に別ネット...
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
(指定IPだけNAT: /sbin/iptables -t nat -A POSTROUTING -o e...
&color(red){注1)マスカレードの設定をしても、filterテーブ...
##ポリシーを決める(通過およびマシンが応答するパケットは...
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P INPUT DROP
## 確立しているコネクションのFORWARDを許可&color(red){---...
/sbin/iptables -t filter -A FORWARD -m state --state ES...
ESTABLISHED: このパケットは、過去双方向にパケットがやり取...
NEW: このパケットが新しい接続を開始したか、 双方向にはパ...
RELATED: このパケットが新しい接続を開始しているが、 FTP ...
&color(red){注)NEWを入れると、WAN側からも新しいも入って...
## pingの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p icmp -j A...
(注1で一切パケットをWAN側に流さないのでicmpだけインターフ...
許可する。両方許可するとWANからもicmpが流れてくる)
/sbin/iptables -t filter -A INPUT -i eth1 -p icmp -j ACCEPT
## DNS問い合わせの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p udp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p udp --dport...
## wwwの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p tcp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p tcp --dpor...
## POPの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p tcp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p tcp --dpor...
## SMTPの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p tcp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p tcp --dpor...
&color(red){(全てをLAN側からのみ通過させるには[ipマスカレ...
&color(red){マスカレード使用しないと戻りパケットがLAN側の...
&color(red){確立しているコネクションのFORWARDを許可(1)[SP...
&color(red){/sbin/iptables -t filter -A FORWARD -i eth0 ...
&color(red){とすればよい)};~
## ftp通信用モジュールのロード(FTPの通過および応答を許可)
/sbin/iptables -t filter -A FORWARD -i eth0 -p tcp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p tcp --dport...
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
&color(red){注)};~
filterで自分自身を許可する場合は自分のIPではなく127.0.0.1...
**IPファイルタ [#j5cc9437]
''条件の追加''~
ポリシはすべてACCEPT、ポート21を192.168.10.0/24以外からの...
# /sbin/iptables -A INPUT -p tcp --dport 21 -s ! 192.168...
''設定状況の表示''~
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- !192.168.10.0/24 anywhere ...
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
''NATの表示は''~
# /sbin/iptables -t nat -n -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
許可するアドレスが1つしか設定できないので許可するアドレ...
その後それ以外を拒否
''全てを拒否''~
# /sbin/iptables -A INPUT -p tcp --dport 21 -s 0.0.0.0/0...
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere ...
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
''許可するアドレスを追加''~
DROPより先に追加する必要があるので、-I INPUT 1(<=1行目に...
# /sbin/iptables -I INPUT 1 -p tcp --dport 21 -s 192.168...
^^^^^^^^^^^順番に注意(チェイン名の後にNo...
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.10.24 anywhere ...
DROP tcp -- anywhere anywhere ...
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
***設定の削除 [#i12ba62a]
''条件の指定''~
# /sbin/iptables -D INPUT -p tcp --dport 21 -s 192.168.1...
''行数の指定''~
# /sbin/iptables -D INPUT 2
''POSTROUTINGの場合''
# /sbin/iptables -t nat -D POSTROUTING 2
***Logの表示 [#s623a2a5]
''FORWARDでログを取ってみる''
設定
# /sbin/iptables -I FORWARD 1 -j LOG --log-prefix "JE2IS...
&color(red){注:以下のようにMASQUERADEよりLOGのほうが先に...
# /sbin/iptables -L
(略)
Chain FORWARD (policy ACCEPT)
target prot opt source destination
LOG 0 -- anywhere anywhere ...
ACCEPT icmp -- anywhere anywhere
(略)
/var/log/messagesにログが出る
Dec 28 09:59:46 vmvine42 kernel: JE2ISM-: IN=eth1 OUT=et...
DST=192.244.75.246 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=...
SPT=1364 DPT=8089 WINDOW=64240 RES=0x00 SYN URGP=0
Dec 28 09:59:49 vmvine42 kernel: JE2ISM-: IN=eth1 OUT=et...
DST=192.244.75.246 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=...
SPT=1364 DPT=8089 WINDOW=64240 RES=0x00 SYN URGP=0
''MASQUERADでは''
# /sbin/iptables -A FORWARD -j LOG --log-prefix "MASQUER...
# /sbin/iptables -t nat -A POSTROUTING -j LOG --log-pref...
/var/log/messagesにログが出る
Dec 28 07:27:04 vmvine42 kernel: MASQUERAD by JE2ISM IN=...
SRC=192.168.99.2 DST=216.218.229.84 LEN=48 TOS=0x00 PREC...
DF PROTO=TCP SPT=1148 DPT=80 WINDOW=64240 RES=0x00 SYN U...
Dec 28 07:27:10 vmvine42 kernel: MASQUERAD by JE2ISM IN=...
SRC=192.168.99.2 DST=216.218.229.84 LEN=48 TOS=0x00 PREC...
DF PROTO=TCP SPT=1148 DPT=80 WINDOW=64240 RES=0x00 SYN U...
ただ某所ではCPUリソースが異常に増えたのでFORWARDで代用した
------
/sbin/iptables -I INPUT 1 -j LOG --log-prefix "iptables_...
/var/messagesにiptables_log:の文字列とともにlogがとれる~
ただし、入力されるパケットが全て記録されるので、デバッグ...
いいかも?これも1行目であれば全て記録するが、適用な行のと...
適用されたルールは記録されない。~
うまくいったら、/etc/rc.d/rc.localにでも書けばOK
または、
# /sbin/service iptables save
で
/etc/sysconfig/iptablesに保存される
/etc/sysconfig/iptables
*filter <---(1)
:INPUT ACCEPT [325:26749]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [306:44475]
[0:0] -A INPUT -s ! 192.168.10.0/255.255.255.0 -p tcp -m...
^^^^^^^^^^^保存された内容
COMMIT
(1)は-tオプションで指定されるテーブルで、filter,nat,mangl...
filterで,~
filter: INPUT,OUTPUT,FORWARDがある~
nat:このテーブルは新しい接続を開くようなパケットに対して...
PREROUTING, OUTPUT がある~
mangle: このテーブルは特別なパケット変換に使われる。~
詳しくはman参照。~
/sbin/service iptables saveでsaveしてもよいが~
直接編集しても良い。~
[0:0]部分はなくても動作するようだ~
編集後~
/etc/rc.d/init.d/iptables restart
でiptablesを再起動
---------------------------------------------------------...
RIGHT:[[元ページ:http://wwwism.dyndns.org/hp/linux/iptabl...
終了行:
*iptables [#v463bb39]
RIGHT:更新日&lastmod();
**CentOSでのNATの設定 [#ade7eb01]
/etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed Sep 21 22:14:...
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [11:1476]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -...
-A INPUT -j REJECT --reject-with icmp-host-prohibited
# FORWARDをLAN(eth0:1)からWAN(eth0)に許可(インターフェイ...
##-A FORWARD -i eth0:1 -j ACCEPT
##-A FORWARD -o eth0 -j ACCEPT
# それ以外はFORWARD拒否
##-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Sep 21 22:14:47 2011
# Generated by iptables-save v1.4.7 on Wed Sep 21 22:14:...
*nat
:PREROUTING ACCEPT [1:60]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:108]
# MASQUERADEの設定
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Sep 21 22:14:47 2011
''確認コマンド''
# /sbin/iptables-save
''FORWORDの設定コマンド''
# echo 1 > /proc/sys/net/ipv4/ip_forward
# /sbin/modprobe iptable_nat
ip_forwardは「/etc/sysctl.conf」に書き込み次のコマンドで...
# sysctl -p
**ネットワーク、IPの追加 [#m6eaefa9]
&color(red){エイリアス等でネットワークやIPを追加するとき...
**pptpパススルー [#t0ef8f43]
iptablesでは内部LANのpptpクライアントから外部のpptpサーバ...
''構成図''
----------------- eth0:1----------
|pptpクライアント|==============| GW |
------------------ |eth0 | |
| ---------- -------...
|======================|WAN ...
-------...
''設定方法''
# /sbin/ifconfig eth0:1 10.99.99.98
# /sbin/modprobe iptable_nat
# /sbin/modprobe ip_nat_pptp <==このモジュール(pptpパ...
# echo 1 > /proc/sys/net/ipv4/ip_forward
# /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUE...
''スプーフィング対策としてカーネルパラメータのrp_filterを...
送信アドレスの偽装を防ぐらしい。
# echo 1 >/proc/sys/net/ipv4/conf/eth1/rp_filter
# echo 1 >/proc/sys/net/ipv4/conf/eth0/rp_filter
''確認''
# /sbin/lsmod
Module Size Used by
ipt_MASQUERADE 7680 1
ip_nat_pptp 10244 0
ip_conntrack_pptp 14736 1 ip_nat_pptp
iptable_nat 12036 1
ip_nat 21548 3 ipt_MASQUERADE,ip_nat_pp...
ip_tables 17108 1 iptable_nat
ip_conntrack 52568 5 ipt_MASQUERADE,ip_nat_pp...
nfnetlink 10520 2 ip_nat,ip_conntrack
x_tables 16644 3 ipt_MASQUERADE,iptable_n...
(略)
**ファイアウォール [#q5c0284c]
Vine4.xでは、iptablesがファイアウォールとしてインストール...
設定は/etc/sysconfig/iptablesにあるのでそれを以下のように...
ACCEPT tcp -- anywhere anywhere ...
ACCEPT tcp -- anywhere anywhere ...
しかしこれだけだとX上のユーティリティに反映されないので以...
/etc/sysconfig/system-config-securitylevel
# system-config-securitylevel config written out by anac...
-f
--enabled
--port=22:tcp
--port=80:tcp
--port=443:tcp <==追加
--port=25:tcp
&color(red){変更後 /etc/rc.d/init.d/iptables restart後はM...
**環境 [#m73e8b55]
インストールするマシンは以下ようなネット接続で G/Wおよび...
よって、ローカル側からはipマスカレードを利用しインターネ...
---------
(インターネット)<------>(eth1)| G/W |(eth0)<----->(...
---------
**ipchainsの停止 [#q2093208]
ipchainsが動作しているときはこれを停止する
# /sbin/lsmod (確認コマンド)
sis900 11264 1 (autoclean)
ipchains 38976 0 (unused)
^^^^^^^^<-ipchainsが動作している
usb-uhci 20720 0 (unused)
# /sbin/rmmod ipchains (停止コマンド)
起動時に動作させないようように
# /sbin/chkconfig --list (確認コマンド)
apmd 0:オフ 1:オフ 2:オン 3:オン 4:オン ...
ipchains 0:オフ 1:オフ 2:オン 3:オン 4:オン ...
^^^^^^^^^^^^^^^^^^^^^^^^...
iptables 0:オフ 1:オフ 2:オン 3:オン 4:オン ...
identd 0:オフ 1:オフ 2:オフ 3:オフ 4:オフ ...
# /sbin/chkconfig --del ipchains (起動時起動しないように...
**iptablesの起動および設定 [#z8c62fc3]
以下のようなスクリプトを実行
#!/bin/sh
##nat用モジュールをロードする
/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
##テーブルの条件を初期化する(ただしポリシーは変更できな...
|テーブル名 |チェイン名 |
|filter |INPUT |
|~|OUTPUT |
|~|FORWARD |
|nat |OUTPUT |
|~|PREROUTING |
|~|POSTROUTING |
|チェイン名 |説明 |
|INPUT |受信したパケットに対するチェイン |
|OUTPUT |送信したパケットに対するチェイン |
|FORWARD |対象サーバを経由するパケットに対するチェイン |
|PREROUTING |受信時にパケットのアドレス変換をするチェイン |
|POSTROUTING |送信時にパケットのアドレス変換をするチェイ...
# /sbin/iptables -t filter -F FORWARD <--FORWARDの初期化
# /sbin/iptables -t filter -F INPUT <--INPUTの初期化
# /sbin/iptables -t nat -F POSTROUTING <--POSTROUTINGの...
全ての初期化なら
/sbin/iptables -F
でよい
##ipマスカレードの設定(&color(red){LAN側[eth0]に別ネット...
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
(指定IPだけNAT: /sbin/iptables -t nat -A POSTROUTING -o e...
&color(red){注1)マスカレードの設定をしても、filterテーブ...
##ポリシーを決める(通過およびマシンが応答するパケットは...
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P INPUT DROP
## 確立しているコネクションのFORWARDを許可&color(red){---...
/sbin/iptables -t filter -A FORWARD -m state --state ES...
ESTABLISHED: このパケットは、過去双方向にパケットがやり取...
NEW: このパケットが新しい接続を開始したか、 双方向にはパ...
RELATED: このパケットが新しい接続を開始しているが、 FTP ...
&color(red){注)NEWを入れると、WAN側からも新しいも入って...
## pingの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p icmp -j A...
(注1で一切パケットをWAN側に流さないのでicmpだけインターフ...
許可する。両方許可するとWANからもicmpが流れてくる)
/sbin/iptables -t filter -A INPUT -i eth1 -p icmp -j ACCEPT
## DNS問い合わせの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p udp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p udp --dport...
## wwwの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p tcp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p tcp --dpor...
## POPの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p tcp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p tcp --dpor...
## SMTPの通過および応答を許可
/sbin/iptables -t filter -A FORWARD -i eth0 -p tcp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p tcp --dpor...
&color(red){(全てをLAN側からのみ通過させるには[ipマスカレ...
&color(red){マスカレード使用しないと戻りパケットがLAN側の...
&color(red){確立しているコネクションのFORWARDを許可(1)[SP...
&color(red){/sbin/iptables -t filter -A FORWARD -i eth0 ...
&color(red){とすればよい)};~
## ftp通信用モジュールのロード(FTPの通過および応答を許可)
/sbin/iptables -t filter -A FORWARD -i eth0 -p tcp --dp...
/sbin/iptables -t filter -A INPUT -i eth1 -p tcp --dport...
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
&color(red){注)};~
filterで自分自身を許可する場合は自分のIPではなく127.0.0.1...
**IPファイルタ [#j5cc9437]
''条件の追加''~
ポリシはすべてACCEPT、ポート21を192.168.10.0/24以外からの...
# /sbin/iptables -A INPUT -p tcp --dport 21 -s ! 192.168...
''設定状況の表示''~
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- !192.168.10.0/24 anywhere ...
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
''NATの表示は''~
# /sbin/iptables -t nat -n -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
許可するアドレスが1つしか設定できないので許可するアドレ...
その後それ以外を拒否
''全てを拒否''~
# /sbin/iptables -A INPUT -p tcp --dport 21 -s 0.0.0.0/0...
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere ...
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
''許可するアドレスを追加''~
DROPより先に追加する必要があるので、-I INPUT 1(<=1行目に...
# /sbin/iptables -I INPUT 1 -p tcp --dport 21 -s 192.168...
^^^^^^^^^^^順番に注意(チェイン名の後にNo...
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.10.24 anywhere ...
DROP tcp -- anywhere anywhere ...
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
***設定の削除 [#i12ba62a]
''条件の指定''~
# /sbin/iptables -D INPUT -p tcp --dport 21 -s 192.168.1...
''行数の指定''~
# /sbin/iptables -D INPUT 2
''POSTROUTINGの場合''
# /sbin/iptables -t nat -D POSTROUTING 2
***Logの表示 [#s623a2a5]
''FORWARDでログを取ってみる''
設定
# /sbin/iptables -I FORWARD 1 -j LOG --log-prefix "JE2IS...
&color(red){注:以下のようにMASQUERADEよりLOGのほうが先に...
# /sbin/iptables -L
(略)
Chain FORWARD (policy ACCEPT)
target prot opt source destination
LOG 0 -- anywhere anywhere ...
ACCEPT icmp -- anywhere anywhere
(略)
/var/log/messagesにログが出る
Dec 28 09:59:46 vmvine42 kernel: JE2ISM-: IN=eth1 OUT=et...
DST=192.244.75.246 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=...
SPT=1364 DPT=8089 WINDOW=64240 RES=0x00 SYN URGP=0
Dec 28 09:59:49 vmvine42 kernel: JE2ISM-: IN=eth1 OUT=et...
DST=192.244.75.246 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=...
SPT=1364 DPT=8089 WINDOW=64240 RES=0x00 SYN URGP=0
''MASQUERADでは''
# /sbin/iptables -A FORWARD -j LOG --log-prefix "MASQUER...
# /sbin/iptables -t nat -A POSTROUTING -j LOG --log-pref...
/var/log/messagesにログが出る
Dec 28 07:27:04 vmvine42 kernel: MASQUERAD by JE2ISM IN=...
SRC=192.168.99.2 DST=216.218.229.84 LEN=48 TOS=0x00 PREC...
DF PROTO=TCP SPT=1148 DPT=80 WINDOW=64240 RES=0x00 SYN U...
Dec 28 07:27:10 vmvine42 kernel: MASQUERAD by JE2ISM IN=...
SRC=192.168.99.2 DST=216.218.229.84 LEN=48 TOS=0x00 PREC...
DF PROTO=TCP SPT=1148 DPT=80 WINDOW=64240 RES=0x00 SYN U...
ただ某所ではCPUリソースが異常に増えたのでFORWARDで代用した
------
/sbin/iptables -I INPUT 1 -j LOG --log-prefix "iptables_...
/var/messagesにiptables_log:の文字列とともにlogがとれる~
ただし、入力されるパケットが全て記録されるので、デバッグ...
いいかも?これも1行目であれば全て記録するが、適用な行のと...
適用されたルールは記録されない。~
うまくいったら、/etc/rc.d/rc.localにでも書けばOK
または、
# /sbin/service iptables save
で
/etc/sysconfig/iptablesに保存される
/etc/sysconfig/iptables
*filter <---(1)
:INPUT ACCEPT [325:26749]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [306:44475]
[0:0] -A INPUT -s ! 192.168.10.0/255.255.255.0 -p tcp -m...
^^^^^^^^^^^保存された内容
COMMIT
(1)は-tオプションで指定されるテーブルで、filter,nat,mangl...
filterで,~
filter: INPUT,OUTPUT,FORWARDがある~
nat:このテーブルは新しい接続を開くようなパケットに対して...
PREROUTING, OUTPUT がある~
mangle: このテーブルは特別なパケット変換に使われる。~
詳しくはman参照。~
/sbin/service iptables saveでsaveしてもよいが~
直接編集しても良い。~
[0:0]部分はなくても動作するようだ~
編集後~
/etc/rc.d/init.d/iptables restart
でiptablesを再起動
---------------------------------------------------------...
RIGHT:[[元ページ:http://wwwism.dyndns.org/hp/linux/iptabl...
ページ名:
![[PukiWiki]](image/../localimages/Atom.gif "[PukiWiki]")
