*

パケットフィルタリングについて調べたことをまとめ

公開日: : 最終更新日:2015/01/13 CentOS 6.5 (Final)

  1. パケットフィルタリング

パケットフィルタリング

iptables

 パケットフィルタリングを設定するコマンド。ipv4用。ipv6はip6tablesコマンドになる。

 []は省略可能、<>内は必須。
iptables -A <チェイン> <ルール>
iptables -D <チェイン> <ルール>
iptables -I <チェイン> [ルール番号] <ルール>
iptables -R <チェイン> <ルール番号> <ルール>
iptables -L <チェイン> [ルール]
iptables -N <チェイン> <ルール>
iptables -X <チェイン> [ルール]
iptables -P <チェイン> <ターゲット>

●オプション
-A
 指定したチェインにルールを追加
-D
 指定したチェインのルールを削除
-I
 指定したチェインへルールを挿入
-L
 指定したチェインのすべてのルールを表示
-N
 指定した名前のチェインを新規作成
-P
 指定したチェインのポリシーを設定
-R
 指定したチェインのルールを置き換え
-X
 指定した空のチェインを削除
●デフォルトチェイン
INPUT
 入力(ローカルホスト部)
OUTPUT
 出力(ローカルホスト部)
FORWARD
 転送
PREROUTING
 入力(ルーティング)、ルーティング決定前に適用するチェイン
POSTROUTING
 出力(ルーティング)、ルーティング決定後に適用するチェイン
●ルール
-d(–destination)
 送信先を指定
-i(–interface)
 パケットが通過するネットワークインターフェースを指定
-j(–jump)
 ルールのターゲットを指定
-p(–protocol)
 プロトコルを指定、tcp、udp、icmp、allなど
-s(–source)
 送信元を指定
-t(–table)
 パケットがマッチするテーブルを指定。filter:カーネル内のデフォルトテーブル、nat:NATテーブル
–dport
 送信先ポートの指定
–sport
 送信元ポートの指定
●主なターゲット
 iptables -j で指定する
ACCEPT
 パケットの通貨を許可
DROP
 パケットを破棄
REJECT
 パケットを拒否し、送信元にはICMPメッセージを通知
MASQUERADE
 IPマスカレードを行う
LOG
 パケットをカーネルログへ出力。syslogメッセージを「ファシリティ=kernel」としてsyslogdへ送る。/etc/syslod.confの設定しだいだが、/var/log/messageに記録される

iptables -A FORWARD -p tcp -s 172.17.20.0/16 -d 192.168.0.1/8 --dport 443 -j ACCEPT
iptables -A FORWARD -p -j REJECT
iptables -A INPUT -i lo -j ACCEPT
#もしくは
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -s 192.168.1.0/24 -j LOG
iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o eth1 -j MASQUERADE
IPパケットの転送

 /proc/sys/net/ipv4/ip_forwardファイルには、IPパケットの転送を行うかどうかのカーネルパラメータが格納されている。パラメータが「0」の場合、パケットの転送は行われない。「1」にすると転送が行われるようになる。直接書き込んでもいいし、sysctlコマンドでも設定を変更できる。これらの変更方法は再起動で元に戻るので、/etc/sysctl.confに設定を記述しておくことで恒久的に設定することができる。

net.ipv4.ip_forward = 1

(追記)
一時的に変更
iptables -A INPUT -p tcp –dport 8000 -j ACCEPT

変更
/etc/sysconfig/iptablesを編集する
変更後は
service iptables restart

確認方法
iptables -L -n

iptables -I INPUT 6 -p tcp –dport 5963 -j ACCEPT

admax_area



関連記事

no image

rp-pppoe : PPPoE でインターネットに接続する

rp-pppoe をインストールする #yum install rp-pppoe [/b

記事を読む

no image

トラブルシューティング

maillogに warning: do not list domain wnqs.biz in

記事を読む

no image

運用監視系コマンド

基本情報 基本情報 コマンド説明 # uname -aカーネルのバージョン

記事を読む

no image

kccのインストール

kccで文字コードを調べることができるということで、kccをインストールする。 ファイルをダウ

記事を読む

no image

デバイス情報を表示するコマンド

USBデバイス情報を表示するコマンド:lsusb インストールする #yum install u

記事を読む

no image

Postfix

Postfixが起動しない /etc/rc.d/init.d/postfix restart

記事を読む

no image

CentOSのversion確認

$ cat /etc/redhat-release [/bash]

記事を読む

no image

インストール後の設定

テキストファイル処理 $ sed 's/\"//g' before.txt >

記事を読む

no image

初期設定など

rpm-buildインストール yum install rpm-build [/bash]

記事を読む

no image

Zabbix 2.2.9

詳しいところ https://blog.apar.jp/zabbix/1046/ 公式 htt

記事を読む

admax_area



Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

admax_area



PAGE TOP ↑