iptables
作成日時:2018/04/01
更新日時:2018/04/01
スポンサーリンク
オプション一覧
| コマンド | 引数 | 説明 |
|---|---|---|
| --append -A | chain | ルールの追加 |
| --delete -D | chain | ルールの削除 |
| --delete -D | chain rulenum | ルールの削除 |
| --insert -I | chain [rulenum] | ルールの挿入 |
| --replace -R | chain rulenum | ルールの置換 |
| --list -L | [chain [rulenum]] | ルールの一覧表示 |
| --list-rules -S | [chain [rulenum]] | ルールの一覧表示 |
| --flush -F | [chain] | ルールの一括削除 |
| --zero -Z | [chain [rulenum]] | すべてのチェインのパケットカウンタとバイトカウンタをゼロにする |
| --new -N | chain | ユーザー定義チェインを作成する |
| --delete-chain -X | [chain] | ユーザー定義チェインを削除する |
| --policy -P | chain target | ポリシー設定 |
| --rename-chain -E | old-chain new-chain | ユーザー定義チェインの名前を変更する |
| パラメータ | 引数 | 説明 |
|---|---|---|
| --proto -p | proto | プロトコルを指定する |
| --source -s | address[/mask][...] | 送信元アドレスの指定 |
| --destination -d | address[/mask][...] | 送信先アドレスの指定 |
| --in-interface -i | input name[+] | インターフェース設定 |
| --jump -j | target | ルールのターゲット指定 |
| --goto -g | chain | 指定チェインに移動する |
| --match -m | match | マッチングモジュールの指定 |
| --numeric -n | - | アドレスとポートを数値で出力する |
| --out-interface -o | output name[+] | ネットワークインターフェース名を指定する |
| --table -t | table | 操作テーブルの指定 |
| --verbose -v | - | 冗長モードに設定する |
| --line-numbers | - | 行数を出力する |
| --exact -x | - | 正確な数値を出力する |
| --fragment -f | - | 2つめ以降のフラグにマッチする |
| --modprobe | =<command> | 必要モジュールをロードする |
| --set-counters | PKTS BYTES | カウンターをセットする |
| --version -V | - | バージョン情報を出力する |
iptablesの設定保存
sudo sh -c "iptables-save > /etc/sysconfig/iptables"
iptablesの設定復元
sudo iptables-restore /etc/sysconfig/iptables
現在のルール確認
[iptables -S] -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N RH-Firewall-1-INPUT -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p esp -j ACCEPT -A RH-Firewall-1-INPUT -p ah -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
[iptables -L] Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere icmp any ACCEPT esp -- anywhere anywhere ACCEPT ah -- anywhere anywhere ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ACCEPT udp -- anywhere anywhere udp dpt:ipp ACCEPT tcp -- anywhere anywhere tcp dpt:ipp ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp-data ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:mysql REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
[cat /etc/sysconfig/iptables] *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH, HTTP, FTP1, FTP2, MySQL -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT