iptables

2011年11月29日(火) 14:12 JST
投稿者: akira
表示回数 528

メモ

●iptablesの設定あれこれ

【基本操作】

・チェイン(因に下記はフィルタされる順番)
PREROUTING：ルーティング前
FORWARD：ルーティングするパケット処理
INPUT : ルーティング後にローカルに向かう
OUTPUT：ローカルからの送信
POSTROUTING：パケットがシステムから出る最後に処理

・ターゲット
-j:ターゲットの指定。ジャンプの意味。1つしか指定できない
ACCEPT:許可(組みこみ)
DROP:破棄(組みこみ)
LOG：ログ収集(拡張)、ファシリティkernelでsyslogに渡される
REJECT：許可しない(拡張)

・チェイン操作
-F:全てのルールをフラッシュ
-L:表示
-X:カスタムチェインの削除
-A:追加
-I:挿入(iptables -I INPUT 3 ルール....)
-D:削除(iptables -D OUTPUT 3)

・基本マッチ
-o:発信インタフェース(FORWARD,OUTPUT,POSTROUTINGで適用)
-i:着信インタフェース(FORWARD,INPUT,PREROUTINGで適用)
-p:プロトコル
-s:ソースIP
-d:ディスティネーションIP

・拡張マッチ
-m:マッチ拡張の呼出し(tcp,udp,stateを指定し各プロトコルの拡張マッチ呼出し)
-p:プロトコル
--sport:ソースポート
--dport:デスティネーションポート
--tcp-flags:TCPフラグ
--syn:SYN接続
使用例)iptables -A INPUT -m tcp -p tcp --syn -j DROP

【流れ】

               +-----------------+      +---------+      +-----------------+      +------------------+
  ppp,eth ---> | PREROUTING(nat) | ---> | Routing | ---> | FORWARD(filter) | ---> | POSTROUTING(nat) | ---> ppp,eth
               +-----------------+      +---------+      +-----------------+      +------------------+
                                             ↓                                          ↑
                                        +---------------+                        +----------------+
                                        | INPUT(filter) |                        | OUTPUT(filter) |
                                        +---------------+                        +----------------+
                                             ↓                                          ↑
                                        +---------------------------------------------------------+
                                        |                proccess                                 |
                                        +---------------------------------------------------------+

【デフォルトポリシーの設定】

・初期化
#iptables -F : 全てのチェインをフラッシュ
#iptables -X : カスタムチェインを削除(組みこみチェインは対象外)
#for chain in INPUT FORWARD OUTPUT; do iptables -P $chain DROP;done : 全てのポリシー初期化

【許可しないパケットを全てロギング】
・iptablesではターゲットは1つしか指定できないので、新たにテーブル作成
これで”-j LOGDROP”でログしてからドロップ
・LOGターゲットだけ唯一、評価された後、終了せず次のチェインに戻る

#iptables -N logdrop
#iptables -A logdrop -j LOG
#iptables -A logdrop -j DROP

・以下のルールを最後に追加すれば、明示的に拒否していないパケットもログ
（先頭に書くと全部拒否してしまうよ）

#iptables -A INPUT -j logdrop
#iptables -A OUTPUT -j logdrop

【ループバック通信の許可】

・ループバックの許可(DROPの指定は当然loインタフェースに適用される)
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT

【ステートフルインスペクション】

・確立された接続許可
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT

・公開サービスへの許可
#iptables -A INPUT -m state --state NEW -p tcp --dport 25 -i eth0 -j ACCEPT

・送信パケットの許可
#iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -o eth0 -j ACCEPT

【NATの設定】

●あて先NAT：フィルタで指定したアドレスが使用され、PREROUTING(ルーティング前)
：チェインで設定される。

・あて先を１つのIPに変換
#iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.0.1

・IPの範囲を指定して変換
#iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.0.1-192.168.0.20

・ポートリダイレクト
#iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.0.1:8080

●送信元NAT：SNAT、MASQUERADEで、フィルタで指定したアドレスが使用されない
：POSTROUTING(ルーティング後)で設定される

：ローカル LAN 上で利用されていないアドレスに SNAT マッピングするなら
：（例えば、192.168.0.0/24 ネットワーク上で、空き IP アドレスである
：192.168.0.20 にマッピングする）、NAT ボックスは、自分自身のアドレスに対する
：ARP リクエストに加え、そのマッピングしたアドレスに対する ARP リクエストにも
：レスポンスを返す必要が出てきます。これを行うには、以下の例のように IP alias
：を作成するのが最も簡単な方法です。（ホスト自身のIPへの変換時は不要）

# ip address add 1.2.3.99 dev eth0

・マスカレードの設定
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

・特定の送信元ポートにマップ
#iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.1:3000

・特定IPへの変更
#iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.0.1

・IPの範囲を指定して変換
#iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.0.1-192.168.0.20

・ポートの範囲を指定して変換
#iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 192.168.0.1:1-1023

【通常のインプットフィルタ】

・IDENTサービスはREJECTしタイムアウトによる遅延を避ける
#iptables -A INPUT -p tcp -m tcp --dport 113 -i eth0 -j REJECT --reject-with tcp-reset

・特別なサーバからのサービス許可(NTP)
#iptables -A INPUT -s 192.168.0.1 -p udp -m udp --dport 123 -i eth0 -j ACCEPT

・外部からの接続要求以外を許可
#iptables -A INPUT -m tcp -p tcp ! --syn -j ACCEPT

・ping-flood拒否(一行目で通常のリクエスト許可、それ以外のリクエストつまり異常なリクエスト拒否)
#iptables -A INPUT -s 0/0 -d 192.168.0.1 -p icmp --icmp-type 8 -m limit --limit 6/minute --limit-burst 2 -i eth0 -j ACCEPT
#iptables -A INPUT -s 0/0 -d 192.168.0.1 -p icmp --icmp-type 8 -i eth0 -j DROP

【ポートリダイレクト】

・Squidを透過的に動かす例（下記2つは同じ挙動）
#iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.0.1:3128

【その後の操作】

・ポリシーの保存（iptables-saveは保存形式で出力されるので下記の様にリダイレクトする）
# iptables-save > /etc/sysconfig/iptables

・起動の設定（次回以降は/etc/sysconfig/iptablesを参照する）
# /etc/rc.d/ini.d/iptables start
# chkconfig --level 2345 iptables on

iptables

検索

最近の人気アイテム

ユーザー機能

新着情報

記事新着(24時間)

コメント新着(2日)

トラックバック新着(2日)

リンク新着(2週)

ダウンロード新着(2週)

イベント

過去の記事

木曜日 2月6日

月曜日 2月3日

木曜日 4月25日

日曜日 9月16日

木曜日 6月28日

火曜日 5月1日

木曜日 12月7日

月曜日 12月4日