iptables

iptablesは、Linuxに実装されたパケットフィルタリング及びネットワークアドレス変換(NAT)の機能であり、ファイアーウォールの役割を果たす。iptablesを操作するコマンドには、IPv4用の「iptables」とIPv6用の「ip6tables」がある。iptablesはOSIの第3階層(ネットワーク層)で動作する。第2階層(データリンク層)を扱いたい場合はebtablesを使用する。

iptablesサービスの起動

iptablesサービスを起動するには、スーパーユーザの権限が必要である。suでスーパーユーザになるか、sudoコマンドを使う。

IPv4のiptablesサービスを起動する。

service iptables start

IPv6のiptablesサービスを起動する。

service ip6tables start

システム起動時にIPv4のiptablesサービスを起動する。

chkconfig iptables on

システム起動時にIPv6のiptablesサービスを起動する。

chkconfig ip6tables on

iptablesサービスの停止

IPv4のiptablesサービスを停止する。

service iptables stop

IPv6のiptablesサービスを停止する。

service ip6tables stop

システム起動時にIPv4のiptablesサービスを停止する。

chkconfig iptables off

システム起動時にIPv6のiptablesサービスを停止する。

chkconfig ip6tables off

なお、Ubuntuではiptablesサービスを停止することができない。

iptablesコマンド

iptablesコマンド及びip6tablesコマンドの操作対象は「テーブル」と「チェイン」である。

チェインの最後にルールを追加する。

iptables [-t table] -A chain rule [options]

チェインからルールを削除する。

iptables [-t table] -D chain rule [options]

チェインにルールを追加する。

iptables [-t table] -I chain [rule-no] rule [options]

チェインにあるルールを置き換える。

iptables [-t table] -R chain rule-no rule [options]

iptables [-t table] -D chain rule-no [options]

チェインにあるルールの一覧を表示する。

iptables [-t table] -L|-F|-Z [chain] [options]

iptables [-t table] -N chain

iptables [-t table] -X [chain]

iptables [-t table] -P chain target [options]

iptables [-t table] -E old-chain new-chain

テーブル

「テーブル」とは、フィルタリングの対象である。

-t

--table

指定したパケットマッチングテーブルを操作対象とする。このオプション省略した場合、 filter テーブルを対象とする。

テーブル	説明
filter	パケットの入出力制御(既定値)
nat	IPアドレス変換やポート変換
mangle	IPパケットヘッダの書き換え

-A

--append

指定したチェインの最後にルールを追加する。

-D

--delete

指定したチェインからルールを削除する。

-I

--insert

指定したチェインにルールを追加する。

-R

--replace

指定したチェインにあるルールを置き換える。

-L

--list

chain で指定されたチェインのルールを一覧表示する。 chain の指定が省略された場合は、すべてのチェインのルールを一覧表示する。

-F

--flush

指定したチェインのルールをすべて削除(flush)する。 chain の指定を省略した場合は、テーブル内の全チェインを削除する。

-Z

--zero

チェインのパケットカウンタとバイトカウンタを0にする。

-N

--new-chain

指定した名前でユーザ定義チェインを作成する。

-X

--delete-chain

指定したユーザ定義チェインを削除する。ただし、他のチェインのターゲットとして使用されているチェインは削除できない。 chain の指定を省略した場合は、すべてのユーザ定義チェインを削除する。

-P

--policy

チェインのポリシを指定したターゲットに設定する。

-E

--rename-chain

チェイン名を変更する。

-m limit

--limit rate

パケットがマッチする頻度を制限する。 rate には、単位時間あたりに許されるマッチ回数を「 number / unit 」の形式で指定する。 unit にはsecond(秒)、minute(分)、hour(時)又はday(日)を指定する。たとえば、1秒間に1回なら「1/s」と指定する。

-m state

--state state

state で指定した接続状態に一致した場合にフィルタリングを適用する。ESTABLISHEDなどを指定することにより、応答パケットに対してフィルタリングできる。

--stateオプションに指定する接続状態
接続状態	説明
NEW	新規接続のパケット
INVALID	既存パケットと関係ないパケット
ESTABLISHED	既存パケットと関係するパケット
RELATED	新規接続のパケット又は既存パケットと関係するパケット

-m multiport

複数のポートやポート範囲を一度に指定する。-p tcp又は-p udpと組み合わせて指定する。

--sports port [, port ...]

送信元ポートが port である場合にマッチ

--dports port[,port...]

宛先ポートが port である場合にマッチ

--ports port [, port ...]

送信元ポートと宛先ポートが共に port である場合にマッチ

chain には次に示す組み込みチェイン又はユーザ定義チェインを指定する。テーブルにより指定できる組み込みチェインが異なる。

iptablesの組み込みチェイン
チェイン	説明	テーブル
チェイン	説明	filter	nat	mangle
INPUT	入力パケット	✓	✗	✓
OUTPUT	出力パケット	✓	✓	✓
FORWARD	転送パケット	✓	✗	✓
PREROUTING	入力パケット(ルーティング前)	✗	✓	✓
POSTROUTING	出力パケット(ルーティング後)	✗	✓	✓

ルール

rule にはルールを指定する。

-dport port

送信先のポート番号を指定する。

-i [!]interface[+] --in-interface [!]interface[+]

パケットを受信するインタフェース名を指定する。 ! を指定すると、そのインタフェースを除外する。 eth+ と指定すると、 eth0, eth1... にマッチする。このオプションを省略した場合、すべてのインタフェースが対象となる。

-o [!]interface[+] --out-interface [!]interface[+]

パケットを送信するインタフェース名を指定する。 ! を指定すると、そのインタフェースを除外する。 eth+ と指定すると、 eth0, eth1... にマッチする。このオプションを省略した場合、すべてのインタフェースが対象となる。

-j target --jump target

ターゲット(パケットがルールにマッチしたときにどうなるか)を指定する。


        target

には、ユーザ定義チェイン又は次の組み込みターゲットを指定する。

iptablesの組み込みターゲット
ターゲット	説明
ACCEPT	パケットの送受信を許可する
DROP	パケットを破棄する
REJECT	パケットを破棄し、エラーパケット(ICMP)を返す
LOG	ログを出力する
SNAT	送信元IPアドレスを変更する
DNAT	送信先IPアドレスを変更する
MASQUERADE	複数の送信元IPアドレスを変更する

ICMPは、送信したデータが届かなかったとき又は障害が発生したときに利用されるプロトコルである。

-p [!]protocol --protocol [!]protocol

プロトコルを指定する。 ! を付けると、指定したプロトコルを除外する。このオプションを省略した場合、すべてのプロトコルが対象となる。

プロトコル
プロトコル	説明
all	ICMP、TCP/IP及びUDP/IP
icmp	ICMP
tcp	TCP/IP
udp	UDP/IP

-s [!]address[/mask] --source [!]address[/mask]

送信元を指定する。IPアドレスを指定する場合、


        address

の形式を使用する。ネットワークIPアドレスで指定する場合、


        address
        /
        mask

の形式を使用する。ホスト名で指定する場合、


        address

にホスト名を指定する。 ! を指定した場合、指定したアドレスを除外する。

-d [!]address[/mask] --destination [!] address[/mask]

送信先を指定する。IPアドレスを指定する場合、


        address

の形式を使用する。ネットワークIPアドレスで指定する場合、


        address
        /
        mask

の形式を使用する。ホスト名で指定する場合、


        address

にホスト名を指定する。 ! を指定した場合、指定したアドレスを除外する。

--log-level level-name

ログを記録するレベルを指定する。

log-level
#	level-name
0	emerg
1	alert
2	crit
3	err
4	warning
5	notice
6	info
7	debug

iptablesコマンド使用例

設定内容をチェインごとに表示する。

# iptables -nL

すでに確立しているセッションや、それらに関係する入力パケットを許可する。

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

拒否されたICMPパケットの応答としてエラーパケットを返す。

# iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

ユーザ定義チェインを作成して、そのユーザ定義チェインにルールを追加する。

# iptables -N chain1
# iptables -A chain1 -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0

iptablesのログ

iptablesのログは/var/log/messagesに出力される。これによりフィルタの適用を確認できる。

iptables-saveコマンド

iptables-saveは、IPテーブルの内容を標準出力に出力するコマンドである。

iptables-save [-c] [-t table]

-c --counters: パケットカウンタとバイトカウンタの値を出力する。
-t: 指定したテーブルのIPテーブルを出力する。

# iptables-save
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:user_chain - [0:0]

iptablesコマンドによるフィルタリング設定はシステムに保存されない。したがって、システムを再起動するとiptablesの設定は初期状態に戻る。iptablesの設定をファイルに保存するには、iptables-saveコマンドを使用する。

/sbin/iptables-save > /etc/sysconfig/iptables

iptables-restoreコマンド

iptables-restoreコマンドは、標準入力からiptablesルールを読み込んで設定を復元するコマンドである。

iptables-restore

iptables-saveコマンドで保存したフェイルから設定を復元することもできる。

/sbin/iptables-restore < /etc/sysconfig/iptables

ルールセットファイル

/etc/sysconfig/iptablesにルールを記述すると、iptablesサービス起動時にルールを読み込む。