ホームページ > コンピューターのチュートリアル > コンピュータ知識 > Linux ファイアウォール-iptables の詳細な説明

Linux ファイアウォール-iptables の詳細な説明

PHPz
リリース: 2024-02-20 11:57:02
転載
917 人が閲覧しました

プロジェクト紹介

iptables は、Linux システム上でパケット フィルタリング、パケット リダイレクト、ネットワーク アドレス変換などの機能を実現できる無料のパケット フィルタリング ファイアウォール ソフトウェアです。これは、高価な商用ファイアウォールに代わる効率的で柔軟なソリューションです。 iptables には強力な構成オプションとルール設定があり、ユーザーは自分のニーズに応じてネットワーク トラフィックを細かく制御し、ネットワークのセキュリティとパフォーマンスを向上させることができます。

iptables のルールとは、ネットワーク管理者があらかじめ定めた条件を指しており、一般的には「データパケットのヘッダーがこの条件を満たしている場合には、データパケットをこのように処理する」というように定義されています。ルールはカーネル空間のパケット フィルタリング テーブルに保存され、送信元アドレス、宛先アドレス、送信プロトコル (TCP、UDP、ICMP など)、サービス タイプ (HTTP、FTP、SMTP など) を指定します。データ パケットがルールに一致すると、iptables はルールで定義された方法 (受け入れ、拒否、ドロップなど) に従ってこれらのデータ パケットを処理します。ファイアウォールを構成する主なタスクは、これらのルールを追加、変更、削除することです。

iptables には、フィルター テーブル、nat テーブル、マングル テーブル、および raw テーブルという 4 つの組み込みテーブルがあり、それぞれパケット フィルタリング、ネットワーク アドレス変換、パケット再構築 (変更)、およびデータ追跡処理を実装するために使用されます。各チェーンは実際には多数のルールのチェックリストにすぎず、各チェーンには 1 つまたは複数のルールを含めることができます。パケットがチェーンに到着すると、iptables はチェーン内の最初のルールからチェックして、パケットがルールで定義された条件を満たしているかどうかを確認します。満たされている場合、システムはルールで定義された方法に従ってパケットを処理しますが、満たされていない場合は、iptables が次のルールのチェックを続けます。パケットがチェーン内のどのルールにも準拠していない場合、iptables はチェーンの事前定義されたデフォルト ポリシーに従ってパケットを処理します。

一般に、iptables は、Linux システム上でファイアウォールおよびネットワーク アドレス変換機能を構成するための強力なツールです。

Linux ファイアウォール-iptables の詳細な説明

システム ファイアウォールを交換する: Centos7 システムのデフォルトのファイアウォール管理ツールは iptables ではありません。使用する必要がある場合は、自分でインストールして交換する必要があります。

リーリー

完全なファイアウォール ルールを照会します。デフォルトのファイアウォール構成ルールを表示するには、-L -n –line-numbers パラメーターを使用します。

リーリー

ファイアウォールをデフォルトで拒否するように設定する: デフォルトの拒否ルールを設定し、INPUT チェーンをデフォルトで拒否するように設定します。これは、すべての接続要求を拒否することを意味します。

リーリー

ファイアウォールの ICMP エコーを有効にする: デフォルトのルールで拒否される場合は、ICMP テストを有効にし、ホストが ping できるように設定します。

リーリー

顧客の SSH リモート接続を許可する: デフォルトで拒否される場合は、マシンへのリモート SSH 接続を許可するようにポート 22 を設定します。

リーリー

指定されたルールを削除: デフォルトの拒否の場合、INPUT チェーン、2 番目のデータを削除し、ICMP ルールを削除します。 リーリー

許可されるネットワーク セグメント アクセスを指定します。デフォルトで拒否される場合は、192.168.1.0/24 ネットワーク セグメント内のホストのみがマシンのポート 22 にアクセスできるように設定します。

リーリー

指定したポートへのアクセスを拒否する: INPUT ルール チェーンに、マシンへの全員のアクセスを拒否するポート 8888 を追加します。

リーリー

指定したホスト ネットワーク セグメントのポートへのアクセスを拒否する: INPUT ルール チェーンに、ローカル ポート 80 へのアクセスを拒否するホスト 192.168.1.20 を追加します。

リーリー

指定したポート範囲へのアクセスを拒否: INPUT ルール チェーンに、すべてのホストのローカル ポート 1000 ~ 2000 へのアクセスの拒否を追加します。 リーリー

SNAT ソース アドレス変換 : ローカル エリアから送信されたデータ パケットは、SNAT 後に自動的にパブリック ネットワーク IP に偽装され、指定されたサービスへのアクセスにパブリック ネットワーク IP が使用されます。

リーリー

DNAT-宛先アドレス変換 : パブリック ネットワークから受信したデータ パケットは、DNAT 後に指定されたイントラネット ホストに自動的に転送されます。

リーリー

物理リクエスト接続の数を制限する: iptables は connlimit モジュールを使用して、特定のポートに対する同じ IP の接続数を制限できます。これにより、各クライアント IP の同時接続数、つまり、 IP ごとにサーバーへの同時接続の数を制限することもできます。また、イントラネット ユーザーのネットワーク使用を制限したり、サーバーについては、各 IP によって開始される接続の数を制限したりすることもできます。 リーリー

基本的なファイアウォール ルールを構成する: 新しくインストールしたシステムで次のコードを順番に実行して、基本的なファイアウォール ルールを構成できます。 リーリー

実稼働環境で一般的に使用される構成ルール: 以下に、実稼働環境で一般的に使用されるいくつかのルールの構成を示します。通常、これらのルールを構成するだけで十分です。

リーリー

以上がLinux ファイアウォール-iptables の詳細な説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:mryunwei.com
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート