7.2. iptablesの使用法
iptablesを使うには、まずiptables サービスを起動します。次ぎのコマンドで起動させることができます:
service iptables start |
 | 警告 | |
|---|---|---|
iptablesサービスを使うためには、ip6tables サービスを以下のコマンドでオフにする必要があります:
|
システムがブートする度にデフォルトでiptablesを起動させるには、 chkconfigを使ってサービスのランレベルのステータスを変更する必要があります。
chkconfig --level 345 iptables on |
iptablesの構文は複数列に分かれています。主要な列は chainです。chain でパケットが処理される状態を指定 します。使い方は次の通りです:
iptables -A chain -j target |
-Aオプションは1つのルールを既存のルールセットの末尾に 付加します。chainは1つのルールの chain 名です。 iptablesの3つの組込み chain(ネットワークを横断するパケット すべてに影響する chain)は INPUT、OUTPUT、FORWARD です。これらの chain は 固定型で削除することはできません。-j target オプションは、この特定のルールがジャンプすべき iptablesルールセット内の位置を指定します。
新規の chains (ユーザー定義 chains とも言う)は-Nオプションを 使用して作成できます。新規の chain を1つ作成することは大がかりな、又は複雑な ルールをカスタマイズするのに役にたちます。
7.2.1. 基本的なファイアウォールポリシー
いくつかの基本的なポリシーは、より詳細にユーザー定義のルールを構築していく土台 になります。iptablesはポリシー(-P)を使用してデフォルトのルールを作成します。セキュリティ志向の 管理者はたいていポリシーとしてすべてのパケットをドロップして、状況に応じて特定 パケットを許可することを選びます。以下のルールではネットワークゲートウェイ上で のすべての着信及び発信パケットをブロックします:
iptables -P INPUT DROP iptables -P OUTPUT DROP |
また、内部のクライアントの不注意によるインターネットに曝されてしまう危険を制限するため、 フォワードされたパケット — ファイアウォールから目的とするノードまでルーティングされるネットワークトラフィック— もすべて拒否することを推奨します。
iptables -P FORWARD DROP |
ポリシー chain を設定したら、特定のネットワーク及びセキュリティに 必要な新しいルールを作成します。次のセクションでは、iptables ファイアウォールを構築していく過程で実行できるいくつかのルールを 概説します: