ホームページ >コンピューターのチュートリアル >コンピュータ知識 >Linux ファイアウォール-iptables の詳細な説明
iptables は、Linux システム上でパケット フィルタリング、パケット リダイレクト、ネットワーク アドレス変換などの機能を実現できる無料のパケット フィルタリング ファイアウォール ソフトウェアです。これは、高価な商用ファイアウォールに代わる効率的で柔軟なソリューションです。 iptables には強力な構成オプションとルール設定があり、ユーザーは自分のニーズに応じてネットワーク トラフィックを細かく制御し、ネットワークのセキュリティとパフォーマンスを向上させることができます。
iptables のルールとは、ネットワーク管理者があらかじめ定めた条件を指しており、一般的には「データパケットのヘッダーがこの条件を満たしている場合には、データパケットをこのように処理する」というように定義されています。ルールはカーネル空間のパケット フィルタリング テーブルに保存され、送信元アドレス、宛先アドレス、送信プロトコル (TCP、UDP、ICMP など)、サービス タイプ (HTTP、FTP、SMTP など) を指定します。データ パケットがルールに一致すると、iptables はルールで定義された方法 (受け入れ、拒否、ドロップなど) に従ってこれらのデータ パケットを処理します。ファイアウォールを構成する主なタスクは、これらのルールを追加、変更、削除することです。
iptables には、フィルター テーブル、nat テーブル、マングル テーブル、および raw テーブルという 4 つの組み込みテーブルがあり、それぞれパケット フィルタリング、ネットワーク アドレス変換、パケット再構築 (変更)、およびデータ追跡処理を実装するために使用されます。各チェーンは実際には多数のルールのチェックリストにすぎず、各チェーンには 1 つまたは複数のルールを含めることができます。パケットがチェーンに到着すると、iptables はチェーン内の最初のルールからチェックして、パケットがルールで定義された条件を満たしているかどうかを確認します。満たされている場合、システムはルールで定義された方法に従ってパケットを処理しますが、満たされていない場合は、iptables が次のルールのチェックを続けます。パケットがチェーン内のどのルールにも準拠していない場合、iptables はチェーンの事前定義されたデフォルト ポリシーに従ってパケットを処理します。
システム ファイアウォールを交換する: Centos7 システムのデフォルトのファイアウォール管理ツールは iptables ではありません。使用する必要がある場合は、自分でインストールして交換する必要があります。
リーリー完全なファイアウォール ルールを照会します。デフォルトのファイアウォール構成ルールを表示するには、-L -n –line-numbers パラメーターを使用します。
リーリーファイアウォールをデフォルトで拒否するように設定する: デフォルトの拒否ルールを設定し、INPUT チェーンをデフォルトで拒否するように設定します。これは、すべての接続要求を拒否することを意味します。
リーリーファイアウォールの ICMP エコーを有効にする: デフォルトのルールで拒否される場合は、ICMP テストを有効にし、ホストが ping できるように設定します。
リーリー顧客の SSH リモート接続を許可する: デフォルトで拒否される場合は、マシンへのリモート SSH 接続を許可するようにポート 22 を設定します。
リーリー指定されたルールを削除: デフォルトの拒否の場合、INPUT チェーン、2 番目のデータを削除し、ICMP ルールを削除します。 リーリー
許可されるネットワーク セグメント アクセスを指定します。デフォルトで拒否される場合は、192.168.1.0/24 ネットワーク セグメント内のホストのみがマシンのポート 22 にアクセスできるように設定します。リーリー
指定したポートへのアクセスを拒否する: INPUT ルール チェーンに、マシンへの全員のアクセスを拒否するポート 8888 を追加します。リーリー
指定したホスト ネットワーク セグメントのポートへのアクセスを拒否する: INPUT ルール チェーンに、ローカル ポート 80 へのアクセスを拒否するホスト 192.168.1.20 を追加します。リーリー
指定したポート範囲へのアクセスを拒否: INPUT ルール チェーンに、すべてのホストのローカル ポート 1000 ~ 2000 へのアクセスの拒否を追加します。 リーリーSNAT ソース アドレス変換 : ローカル エリアから送信されたデータ パケットは、SNAT 後に自動的にパブリック ネットワーク IP に偽装され、指定されたサービスへのアクセスにパブリック ネットワーク IP が使用されます。
リーリーDNAT-宛先アドレス変換 : パブリック ネットワークから受信したデータ パケットは、DNAT 後に指定されたイントラネット ホストに自動的に転送されます。
リーリー物理リクエスト接続の数を制限する: iptables は connlimit モジュールを使用して、特定のポートに対する同じ IP の接続数を制限できます。これにより、各クライアント IP の同時接続数、つまり、 IP ごとにサーバーへの同時接続の数を制限することもできます。また、イントラネット ユーザーのネットワーク使用を制限したり、サーバーについては、各 IP によって開始される接続の数を制限したりすることもできます。 リーリー
基本的なファイアウォール ルールを構成する: 新しくインストールしたシステムで次のコードを順番に実行して、基本的なファイアウォール ルールを構成できます。 リーリー実稼働環境で一般的に使用される構成ルール: 以下に、実稼働環境で一般的に使用されるいくつかのルールの構成を示します。通常、これらのルールを構成するだけで十分です。
リーリー以上がLinux ファイアウォール-iptables の詳細な説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。