iptablesの概要-ADCで連鎖ルールを指定します。-A add -D delete -C iptablesを変更します - [RI] iptablesで連鎖ルール番号rule-specification [オプション] RIを指定します規則の順序は、iptablesを指定します。-D chain rule num [option]指定された規則を削除します。iptables - [LFZ] [chain] [option] iptables付き-LFZチェーン名[options] iptables - [NX] chain -NX付きチェーンiptables -P chain target [options]チェーンのデフォルトの行き先を指定しますiptables -E古いチェーン名新しいチェーン名E古いチェーン名新しいチェーン名を新しいチェーン名に置き換えます説明Iptalbesを使用して設定します。 LinuxカーネルのIPパケットフィルタリングルールを保守および確認します。それぞれが複数の内部チェーンを含み、またユーザー定義チェーンを含むことができる、異なるテーブルを定義することができます。各チェーンは、対応するパッケージに一致するルールのリストです。各ルールは、パッケージの一致方法を指定します。これは< target>(target)と呼ばれ、同じテーブル内のユーザー定義チェーンにジャンプすることもできます。 TARGETSファイアウォールの規則は、チェックされるパッケージの特性とターゲットを指定します。パッケージが一致しない場合はチェーン内の次のルールチェックに送信され、一致する場合は次のルールがターゲット値によって決定されますターゲット値はACCEPT [pass]のような特別な値です。 ]、DROP [Delete]、QUEUE [Queue]、またはRETURN [Return]。 ACCEPTはこのパッケージを通過させることを意味します。 DROPはこのパケットを破棄することを意味します。 QUEUEはこのパッケージをユーザー空間に渡すことを意味します。 RETURNはこのチェーンのマッチングを停止することを意味し、前のチェーンへのルールが再開されます。組み込みチェーンの終わりに達した場合、または組み込みチェーンの規則がRETURNの場合、パッケージの運命は、連鎖基準で指定されたターゲットによって決まります。 TABLESには現在3つのテーブルがあります(どのテーブルが現在のテーブルであるかは、カーネル設定オプションと現在のモジュールによって異なります)。 -t tableこのオプションは、コマンドによって操作される一致パケットのテーブルを指定します。カーネルが自動的にモジュールをロードするように設定されている場合、モジュールがロードされていなければ、(system)は適切なモジュール(テーブル用)をロードしようとします。これらのテーブルは次のとおりです。デフォルトのテーブルであるfilterには、組み込みチェーンINPUT(着信パケットの処理)、FORWORD(渡されたパッケージの処理)、およびOUTPUT(ローカルで生成されたパッケージの処理)が含まれます。このテーブルはPREROUTING(着信パケットの変更)、OUTPUT(ルート変更前のローカルパッケージ)、POSTROUTING(変更準備完了)の3つの組み込みチェーンで構成されています。パッケージ)。 Mangleこのテーブルは、指定されたパッケージを修正するために使用されます。 PREROUTING(経路が変更される前に入力されたパッケージ)とOUTPUT(経路が変更される前にローカライズされたパッケージ)という2つの組み込み規則があります。オプションiptablesが認識できるこれらのオプションは、異なるカテゴリを区別することができます。コマンド行の下に他の規則がない場合、行は1つのオプションしか指定できません長い形式のコマンドとオプション名の場合、使用される文字の長さは、iptablesが他のオプションとコマンドを区別できる限りです。そうです。 -A -appendは、選択したチェーンの最後に1つ以上の規則を追加します。送信元(アドレス)または宛先(アドレス)、あるいはその両方が複数のアドレスに変換されると、この規則はすべての可能なアドレス(組み合わせ)の後に追加されます。 -D -deleteは、選択したチェーンから1つ以上のルールを削除します。このコマンドを実行するには2つの方法があります。削除したルールをチェーン内のシーケンス番号(最初のシーケンス番号は1)として指定するか、または一致するルールを指定することができます。 -R -replaceは、選択したチェーンからルールを置き換えます。送信元(アドレス)または宛先(アドレス)が複数のアドレスに変換されると、コマンドは失敗します。ルール番号は1から始まります。 -I -insert指定したルール番号に基づいて、選択したチェーンに1つ以上のルールを挿入します。したがって、ルール番号が1の場合、ルールはチェーンの先頭に挿入されます。これは、ルール番号が指定されていない場合のデフォルトの方法でもあります。 -L -listは、選択したチェーンのすべての規則を表示します。チェーンが選択されていない場合は、すべてのチェーンが表示されます。チェーンが自動的にリストされてゼロに設定されている場合は、zオプションと一緒に使用することもできます。正確な出力は与えられた他のパラメータの影響を受けます。 -F -flushは選択されたチェーンをクリアします。これは、すべてのルールを1つずつ削除するのと同じです。 - Z - ゼロを指定すると、すべてのチェーンとバイトのカウンタがクリアされます。空にする前にカウンターを見るために-Lと一緒に使うことができます。 -N -new-chainは、指定された名前に基づいて新しいユーザー定義チェーンを作成します。これにより、同じ名前のチェーンがないことを確認する必要があります。 -X -delete-chain指定したユーザー定義チェーンを削除します。参照されている場合は、削除する前に、それに関連付けられているルールを削除または置換する必要があります。引数が与えられなかった場合、このコマンドはそれぞれの非組み込みチェーンを削除しようとします。 -P -policyはチェーンのターゲットルールを設定します。 -E -rename-chainユーザーが指定した名前に基づいて指定されたチェーンの名前を変更しますこれは単なる変更であり、テーブル全体の構造には影響しません。 TARGETSパラメータは正当な目標を与えます。非ユーザー定義チェーンのみがルールを使用でき、組み込みチェーンとユーザー定義チェーンの両方をルールのターゲットにすることはできません。ヘルプを表示します。現在のコマンド構文について非常に簡単な説明を付けてください。パラメーターパラメーター以下のパラメーターは、追加、削除、置換、追加、および確認などのルールの詳細な説明を形成します。 -p -protocal [!]プロトコル検査またはパケット検査のプロトコル(チェック対象)。指定されたプロトコルは、tcp、udp、icmp、またはこれらのプロトコルの1つを表す数値の1つまたはすべてです。もちろん、/etc /protocolsに定義されているプロトコル名を使用することもできます。反対のルールを示すには、契約名の前に'!'を追加します。数値0はallに相当します。 Protocol allはすべてのプロトコルと一致します。これがデフォルトのオプションです。 checkコマンドと組み合わせると、すべてを使用できます。 -s -source [!] address [/mask]送信元アドレスを指定します。これには、ホスト名、ネットワーク名、およびクリアIPアドレスを指定できます。マスクの説明は、ネットマスクまたはクリア番号のどちらでもかまいませんので、ネットマスクの左側にあるネットマスクの左側の番号を指定しますので、マスク値は24で255.255.255.0になります。指定したアドレスに'!'を追加すると、反対のアドレスセグメントが指定されます。フラグnd srcは、このオプションの短縮形です。 -d - destination [!] address [/mask]ターゲットアドレスを指定します詳細については、-sフラグの説明を参照してください。フラグndst; dstは、このオプションの短縮形です。 -j - jump target-jターゲットジャンプでは、ルールのターゲット、つまりパッケージが一致した場合に実行する必要があることを指定します。ターゲットは、(ルールが配置されているものではなく)ユーザー定義のチェーン、パッケージの運命を即座に決定する専用の組み込みターゲット、または拡張子(下記の「拡張子」を参照)にすることができます。このルールのオプションが無視された場合、マッチングプロセスはパッケージに影響を与えませんが、ルールのカウンターは増加します。