17.3. iptablesコマンドで使用するオプション

パケットをフィルタリングする規則は、iptablesコマンドを使用して定められます。 iptablesコマンドを使用するときには、 以下のようなパケットの観点が基準としてよく使用されます。

このようなパケットを扱う特定のオプションに関する詳細は、 項17.3.4及び項17.3.5を参照してください。

特定のiptables規則で使用されるオプションは、 規則を有効にする為に、規則全体の目的と条件を元にして論理的にグループ化する 必要があります。ここからは、iptablesコマンドに よく使われるオプションを説明していきます。

17.3.1. iptablesオプションの構成

多くのiptablesコマンドの構成は、次のようになります。

iptables [-t <table-name>] <command> <chain-name> <parameter-1> \
         <option-1> <parameter-n> <option-n>

<table-name>オプションは、 コマンドで使用するために、ユーザーがデフォルトのfilter テーブル以外のテーブルを選択することができます。 <command>オプションは、 <chain-name>オプションで指定される 規則を追加する/削除するなど、実行する特定のアクションを指示します。 以下の<chain-name>は、 パケットが規則と合致したときに何を行なうか(アクション)を定義する パラメータとオプションの組み合わせです。

iptablesコマンドの構成を見てみると、他の殆どのコマンドとは異なり、 iptablesコマンドの長さと複雑性はその目的に基づいて変更出来ることを 認識しておくことが大切です。チェーンから規則の1つを削除するコマンドは、とても 短くできますが、特定のサブネットから送信されたさまざまな特定パラメータとオプションを使用するパケットをフィルタするように設計したコマンドは、かなり長くなります。iptables コマンドを作成する時、幾つかのパラメータとオプションは、さらに以前のオプションの 要求を指定するために、他のパラメータとオプションを必要とする可能性があることを認識して おくと役に立ちます。有効な規則を構成するには、他のオプションセットを要求するパラメータと オプションがすべて満足されるまで継続する必要があります。

iptables -hと入力すると、iptablesコマンドの構成の総合一覧が表示されます。

17.3.2. コマンドオプション

コマンドオプションは、iptablesが特定の動作を行なうよう 指示します。 1つのiptablesコマンドにつき使用できるコマンドオプションは 1つだけです。ヘルプコマンドを除くすべてのコマンドは大文字で作成します。

iptablesのコマンドには、次のようなものがあります:

17.3.3. iptablesパラメータオプション

特定のチェーンにおける規則の追加、削除、挿入、交換などの規則を含む一定のiptablesコマンドを 指定すると、パケットフィルタリング規則を構築するためのパラメータが必要になります。

17.3.4. iptables比較オプション

異なるネットワークプロトコルは、特別な比較オプションを用意して、 そのプロトコルを使用して特定のパケットと一致するように設定できます。ただし、このプロトコルは最初に、iptablesコマンドに指定される 必要があります。-p tcp <protocol-name>で、指定されたプロトコル用のオプションを利用できるように します(ここで <protocol-name>はターゲット プロトコルです)。

17.3.4.1. TCPプロトコル

TCPプロトコル(-p tcp)では、以下の比較オプションを使用できます。

  • --dport — パケットの送信先ポートを設定します。ネットワークサービス名 (wwwsmtpなど)、ポート番号、ポート番号の範囲のいずれかを 使用できます。ネットワークサービスの名前や、エイリアスとそのネットワークサービスが使用する ポート番号を閲覧するには、/etc/servicesファイルを参照してください。 --destination-portの比較オプションは、--dportと同義と なります。

    ポート番号の範囲を指定するには、-p tcp --dport 3000:3200のように2つの番号を コロン(:)で区切ります。最大の有効範囲は、0:65535です。

    --dportオプションの後で感嘆符(!)を使用して、そのネットワークサービスあるいはポートを使用しない すべてのパケットを比較します。

  • --sport--dportと同じオプションを使用して、パケットの 送信元ポートを設定します。--source-portの比較オプションは--sportと 同義です。

  • --syn—一般にSYNパケットと呼ばれる、通信を開始するよう設計された すべてのTCPパケットを規則の対象にします。データを伝送するパケットは影響を受けません。--syn オプションの後で感嘆符(!)をフラグとして使用すると、SYNパケット以外のすべてのパケットが対象になります。

  • --tcp-flags — 特定のビットやフラグを持つTCPパケットを規則と比較される様に設定します。 --tcp-flagsの比較オプションは2つのパラメータを受け付けます。1番目のパラメータはマスクで、 パケット内でフラグが検査されるようにします。2番目のパラメータでは、一致するように設定する必要のあるフラグを指定します。

    使用できるフラグは以下のようになります:

    • ACK

    • FIN

    • PSH

    • RST

    • SYN

    • URG

    • ALL

    • NONE

    たとえば、-p tcp --tcp-flags ACK,FIN,SYN SYNと指定されている iptables規則は、SYNフラグが設定されていてACKフラグとFINフラグ は設定されていないTCPパケットのみを比較します。

    感嘆符(!)を--tcp-flagsの後で使用すると、比較オプションの 対応が逆転されます。

  • --tcp-option—特定のパケットで設定できるTCP特有のオプションを比較しようとします。感嘆符(!)を使用すると、意味を反対にすることができます。

17.3.4.2. UDPプロトコル

UDPプロトコル(-p udp)では、以下のオプションを使用できます。

  • --dport — サービス名、ポート番号、ポート番号の範囲のどれかを使用して、 UDPパケットの送信先ポートを指定します。--destination-portの比較オプションは --dportと同義となります。このオプションのさまざまな使用法については、 項17.3.4.1--dport比較オプションを 参照してください。

  • --sport — サービス名、ポート番号、ポート番号の範囲のどれかを使用して、 UDPパケットの送信元ポートを指定します。--source-portの比較オプションと同義です。 このオプションのさまざまな使用法については、項17.3.4.1--sport比較オプションを参照してください。

17.3.4.3. ICMPプロトコル

ICMP(Internet Control Message Protocol)には(-p icmp)、次の比較オプションが使用できます。

  • --icmp-type—規則を満たすICMPタイプの番号か名前を設定します。有効なICMP名の一覧は、iptables -p icmp -hというコマンドを実行すると表示されます。

17.3.4.4. その他の比較オプションモジュール

その他の比較オプションもiptablesコマンドによってロードされる モジュールで利用できます。比較オプションモジュールを使用するには、-m <module-name> などの-mオプションを 使用して、名前の指定でモジュールをロードする必要があります(<module-name>は モジュールの名前で入れ換えます)。

デフォルトで多くのモジュールが利用できるようになっています。 追加機能を提供するモジュールを作成することもできます。

以下に、よく使われるモジュールのいくつかを挙げてみました。

  • limitモジュール — 特定の規則を満たすパケットの数に 制限を設けます。大量の一致パケットが繰り返しのメッセージでシステムログを一杯にしたり、システムのリソースを使いきってしまうことがないようにすることができるため、 LOGターゲットと共に使用するとき特に便利です。

    limitモジュールは以下のようなオプションを有効にします:

    • --limit—特定の時間帯に比較する回数を設定します。<number>/<time>という形式で回数と時間モディファイアを配置して指定します。たとえば、 --limit 5/hourと指定すると、1時間に5回だけ規則が比較されます。

      回数と時間を指定しない場合は、デフォルト値の3/hourが使用されます。

    • --limit-burst—同時に比較できるパケットの数を制限します。このオプションは、--limitオプションとともに使用してください。このオプションでは、同時に比較できるパケットの最大数を指定します。

      値を指定しない場合、5つのパケットだけが規則を満たすことができます。

  • stateモジュール — 接続状態について比較を有効にします。

    stateモジュールは以下のようなオプションを有効にします:

    • --state — 以下の接続状態についてパケットを比較します:

      • ESTABLISHED—確立された接続内にある他のパケットに関係があるパケットが規則を満たします。

      • INVALID—既知の接続に結び付けられないパケットが規則を満たします。

      • NEW—新しい接続を作成しているパケットか、あるいはそれまでになかった双方向接続の一部となっているパケットが規則を満たします。

      • RELATED—既存の接続と何らかの関係がある新しい接続を開始するパケットが規則を満たします。

      これらの接続状態を複数組み合わせて使用するには、-m state --state INVALID,NEWのようにカンマで区切ります。

  • macモジュール — ハードウェアMACアドレスの比較を有効にします。

    macモジュールは以下のようなモジュールを有効にします:

    • --mac-source — パケットの送信元であるネットワークインターフェースカードの MACアドレスを比較します。この規則からMACアドレスを除外するには、--mac-source比較 オプションの後に感嘆符(!)を付けます。

他のモジュールで使用できる比較オプションを確認するには、 iptablesの manページを参照して下さい。

17.3.5. ターゲットオプション

パケットが特定の規則を満たすと、規則はそのパケットのさまざまな行方を決定し場合によっては追加動作を させることも可能です。各チェーンにはデフォルトのターゲットがあり、そのチェーンの規則を満たすパケットが ない場合か、あるいはパケットが満たした規則のいずれもがターゲットを指定していない場合に使用されます。

標準(デフォルト)のターゲットには以下のようなものがあります:

これらの標準ターゲットのほかに、ターゲットモジュール と呼ばれる拡張機能で各種のターゲットを使用できます。比較オプションモジュールの 詳細については、項17.3.4.4を 参照してください。

多くの拡張ターゲットモジュールがありますが、ほとんどは特定のテーブルか状況のみに適用されます。デフォルトでRed Hat Enterprise Linuxに含まれているターゲットモジュールでよく使用されるものには、次のようなものがあります。

natテーブルを使用したIPマスカレード、又はmangleテーブルを使用した パケット変更で役にたつものなど、その他のターゲット拡張の幾つかは、iptablesの manページを参照してください。

17.3.6. リストオプション

デフォルトのリストコマンドiptables -Lは、デフォルトのフィルタテーブルの現在の チェーンについて非常に基本的な概要情報を提供します。追加のオプションは更に詳細情報を提供します: