heavyhandの実験室

この文書は読取専用です。文書のソースを閲覧することは可能ですが、変更はできません。もし変更したい場合は管理者に連絡してください。

===== Linux:iptables:iptables とは =====
  * パケットフィルタリングとNATを行う natfilter を設定するツール
===== 設定ファイル =====
<code>
/etc/sysconfig/iptables
</code>
===== テーブルとチェイン =====

==== テーブル ====

  * チェーンのまとまりで、filter, nat, mangle の３種類がある。
  * デフォルトはfilter がデフォルトであり、テーブルにより使用できるチェインが異なる。

==== チェイン ====
  * どのタイミングで処理を行うかを示す。

|  受信パケット      |     |          |     |  送信パケット  |
|      ↓       |     |          |     |      ↑     |
|  PREROUTING  |  →  | FORWARD  |  →  |  PSTROUTING  |
|      ↓       |     |          |     |      ↑     |
|    INPUT     |     |          |     |    OUTPUT  |
|      ↓       |     |          |     |      ↑     |
|  PROCESS     |||||


===== テーブルとチェインの組合せ =====
^テーブル^目的^チェイン^説明^
|filter|パケットフィルタリングを行う。|FORWARD|ホストを通ってルーティングしたネットワークパケットを適用する|
|:::|:::|INPUT|ホスト用のターゲットとされているネットワークパケットに適用する|
|:::|:::|OUTPUT|ローカル生成のネットワークパケットに適用する。|
|nat|NAT,IPマスカレードを行う|PREROUTING|ネットワークパケットが到着するとそれを変更する|
|:::|:::|POSTROUTING|ネットワークパケットが送信される前にそれを変更する|
|:::|:::|OUTPUT|ローカル生成のネットワークパケットを送信される前に変更する|
|mangle|パケットの改変を行う|INPUT|ホスト用にターゲットされているネットワークパケットを変更する|
|:::|:::|OUTPUT|ローカル生成のネットワークパケットを送信される前に変更する|
|:::|:::|FORWARD|ホストを通してルーティングしたネットワークパケットを変更する|
|:::|:::|PREROUTING|着信のネットワークパケットをルーティングされる前に変更する|
|:::|:::|POSTROUTING|ネットワークパケットが送信される前にそれを変更する|

heavyhandの実験室

ユーザ用ツール

サイト用ツール

ページ用ツール