iptables 基本操作

はい、Cです。

iptableについてまとめておこう。

iptableとはlinuxカーネルのNetfilterというコンポーネントを操作する為のコマンド。
ファイアウォールとしては、ステートフルパケットフィルタリングが出来る。

Using iptable Memo

#iptables --list　　　　　　※全ルール表示
#iptables --list INPUT　　　※cheinを指定して表示
#iptables --line-numbers --list INPUT　　※ルールナンバー付きで表示　ルール削除にナンバーが必要
#iptables --flush 　　　　　※全ルール削除

#iptables -I chain名 ルール番号 ルール内容 　　※ルールをInsert
#iptables -D 　　　　　　　　　　　　　　　　　※ルールをDelete
#iptables -R 　　　　　　　　　　　　　　　　　※ルールをReplace
#iptables -A 　　　　　　　　　　　　　　　　　※ルールをAppend

Insertの場合は指定したルール番号の直後にインサートされる。
Delete、Replaceに関しては指定したルール番号のもを操作する。
Appendの場合はChaneルールの最後に追加するので番号は指定しない。

ルール内容 コマンドオプション

　-s sourceIP 　　：送信元がsourceIPのパケットにマッチ。
　　　　　　　　　　 IPアドレス,ネットワークアドレス,ホスト名が指定できる。省略時0/0で全てマッチ。
　-d destinationIP 　：送信先がdestinationIPのパケットにマッチ。指定はsourceIPと一緒。
　-i interface　　：指定したインターフェイスから入ってきたパケットにマッチ。
　　　　　　　　　　　INPUT,FORWARD,PREROUTINGで使える。
　-o interface　　：指定したインターフェイスから出て行くパケットにマッチ。
　　　　　　　　　　　OUTPUT,FORWARD,POSTROUTINGで使える。
　-p tcp | udp | icmp | all 　：指定したプロトコルのパケットにマッチ。省略時はall。
　--dport destinationPort ：宛先ポートがdestinationPortのパケットにマッチ。
　　　　　　　　　　　　　　　コロンで区切って範囲指定(137:139) -pでプロトコルを指定しておく。
　--sport sourcePort　：送信元ポートがsourcePortのパケットにマッチ。
　--tcp-flags mask match ：
　--icmp-type type　：パケットのタイプがtypeのパケットにマッチ。
　　　　　　　　　　　　-pでicmpを指定しておく。iptables -p icmp -hで指定できるのが一覧表示される。
　-m state --state statespec 　：パケットの状態がstatespecのパケットにマッチ。
　　　　　　　　　　　　　　　　　　statespecはNEW,ESTABLISHED,INVALID,RELATEDをカンマで指定。

↑テーブルタグ使うのがめんどくさいのでガタガタ

次回はルールを書くぞ。