7.2. iptablesの使用法

iptablesを使うには、まずiptables サービスを起動します。次ぎのコマンドで起動させることができます:

service iptables start

警告警告
 

iptablesサービスを使うためには、ip6tables サービスを以下のコマンドでオフにする必要があります:

service ip6tables stop
chkconfig ip6tables off

システムがブートする度にデフォルトでiptablesを起動させるには、 chkconfigを使ってサービスのランレベルのステータスを変更する必要があります。

chkconfig --level 345 iptables on

iptablesの構文は複数列に分かれています。主要な列は chainです。chain でパケットが処理される状態を指定 します。使い方は次の通りです:

iptables -A chain -j target

-Aオプションは1つのルールを既存のルールセットの末尾に 付加します。chainは1つのルールの chain 名です。 iptablesの3つの組込み chain(ネットワークを横断するパケット すべてに影響する chain)は INPUT、OUTPUT、FORWARD です。これらの chain は 固定型で削除することはできません。-j target オプションは、この特定のルールがジャンプすべき iptablesルールセット内の位置を指定します。

新規の chains (ユーザー定義 chains とも言う)は-Nオプションを 使用して作成できます。新規の chain を1つ作成することは大がかりな、又は複雑な ルールをカスタマイズするのに役にたちます。

7.2.1. 基本的なファイアウォールポリシー

いくつかの基本的なポリシーは、より詳細にユーザー定義のルールを構築していく土台 になります。iptablesはポリシー(-P)を使用してデフォルトのルールを作成します。セキュリティ志向の 管理者はたいていポリシーとしてすべてのパケットをドロップして、状況に応じて特定 パケットを許可することを選びます。以下のルールではネットワークゲートウェイ上で のすべての着信及び発信パケットをブロックします:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

また、内部のクライアントの不注意によるインターネットに曝されてしまう危険を制限するため、 フォワードされたパケット — ファイアウォールから目的とするノードまでルーティングされるネットワークトラフィック— もすべて拒否することを推奨します。

iptables -P FORWARD DROP 

ポリシー chain を設定したら、特定のネットワーク及びセキュリティに 必要な新しいルールを作成します。次のセクションでは、iptables ファイアウォールを構築していく過程で実行できるいくつかのルールを 概説します:

7.2.2. iptablesのルールの保存/復元

ファイアウォールのルールはコンピュータがオンになっている時のみ有効です。システムが再起動すると、ルールは自動的に処分されリセットになります。後でロードするようルールを保存するには、次のコマンドを使います:

/sbin/service iptables save

ルールが/etc/sysconfig/iptablesファイルに保存され、 サービスが起動/再起動する度に適用されます。また、マシンが再起動しても適用されます。