linuxアクセス制御(四)iptablesルール管理と一般的な操作

一、ルールの保存と再ロード

現在のメモリを表示する規則

iptables -S

[root@Tyson'sComputer ~]# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

現在のメモリのルール

を保存

iptables -S> /path/file

iptables-save[option]> /path/file

[root@Tyson'sComputer learniptables]# cat test2.iptables 
# Generated by iptables-save v1.4.21 on Mon Feb 25 10:23:42 2019
*filter
:INPUT ACCEPT [572:44587]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [291:29540]
COMMIT
# Completed on Mon Feb 25 10:23:42 2019

規則メモリ

にリロード

CentOS 6でiptablesサービスを再起動する自動マウント/etc/sysconfig/iptables

CentOS 7では、iptables-restoreを使用して指定したファイルにルールを再ロードします.(ここではiptables-saveで保存するルールファイルのみを読み込むことができる)

.

[root@Tyson'sComputer learniptables]# iptables-restore 

良好な規則管理習慣

ルールをshellスクリプトに書き込む

は、サーバのアドレスまたはセグメント、イントラネットのセグメントなど、複数回繰り返されるアドレスに変数を使用する.

スクリプトを使用する最初のコマンドはiptables-F

であることが望ましい.

あるサーバアドレスが変更すると、サーバアドレスに対応する変数値

を変更するだけでよい.

注釈や分類ができるので、より規範的です.

バックアップ・ルールより簡単

は、/etc/rc.d/rc.localにスクリプトを実行するコマンドを1つ追加するだけでよい.

二、常用操作

カスタムチェーン

をクリア

iptables -X [chain]

クリアルール

iptables -F [chain]

クリアルールカウンタ

iptables -Z [chain]

は、ホスト10.1.1.223がtcpプロトコルを介してホスト10.1.1.222の22ポートにアクセスすることを拒否する.

iptables -A INPUT -s 10.1.1.223 -d 10.1.1.222 -p tcp --dport 22 -j REJECT

filterテーブルのデフォルトルールをDROP

に設定

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

-Pは、指定されたチェーンを設定するデフォルトポリシー(policy)が指定されたtarget

である.

ルール・リストおよび統計を表示する

iptables -L -n -v chain

-Lオプションは、チェーンまたはすべてのチェーンのルール

をリストするものです.

-nは出力数値フォーマットのipアドレスとポート番号であり、ホスト名とポート番号に対応するサービス名

を逆解しようとする.

-vは、より信頼できる情報を出力

である.

ループバック装置の入出庫パケット

iptables -A IPNUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

−i,−oは、それぞれパケットが流入または流出するインタフェースである.

-s、-dは、流入流出を指定するアドレス

である.

ループバックは、通常、INPUTとOUTPUTの2つのチェーンを指定します.

最良の書き方は、pingローカルipアドレスが最終的にループバックデバイスに渡されるが、127.0.0.1に渡されるのではなく、127.0.0セグメントの他のアドレス

に渡されるため、ターゲットと宛先アドレスを省略することである.
-iptables -A INPUT -i lo -j ACCEPT -iptbales -A OUTPUT -o lo -j ACCEPT