16.3. iptablesコマンドで使用するオプション
カーネルがパケットをフィルタできるようにする規則は、iptablesコマンドを 実行することで有効になります。iptablesコマンドを実行する時には以下のオプションを 指定します:
パケットタイプ — コマンドがフィルタする パケットのタイプを指示します。
パケットの送信元/送信先 — パケットの送信元、 又は送信先に応じてコマンドがフィルタするパケットのタイプを指示します。
ターゲット — 上記の基準に適合するパケットに 対して実行されるアクションを指示します。
現行のiptables規則と共に使用されるオプションは、規則を有効にする為に 規則全体の目的と条件を元にして論理的にグループ化する必要があります。
16.3.1. テーブル
iptablesの強力な特徴として、複数のテーブルを使用して、特定のパケットの行方を決定できます。 iptablesの柔軟性のお蔭で、特定の目的に合わせてテーブルを作成して、それを /lib/modules/<kernel-version>/kernel/net/ipv4/netfilter/ ディレクトリの中に保存できます。この<kernel-version>とは カーネルのバージョン番号のことです。
デフォルトのテーブルはfilterという名前で、標準的なINPUT、OUTPUT、FORWARDの 各チェーンが組み込まれています。これは、ipchainsで使用する標準的なチェーンと 少し似ています。しかし、iptablesには、特別なパケットフィルタリング作業を行う 2つのテーブルがデフォルトで追加されています。natテーブルを使用するとパケットに 記録されている送信元と送信先のアドレスを変更することができ、mangleテーブルを使用すると 特別な方法でパケットを変更することができます。
各テーブルにはテーブルの目的に基づいて必要な作業を行うデフォルトのチェーンが含まれていますが、 どのテーブルにも新しいチェーンを追加することが出来ます。
16.3.2. 構造
多くのiptablesコマンドの構造は、次のようになります。
iptables [-t <table-name>] <command> <chain-name> <parameter-1> \
<option-1> <parameter-n> <option-n> |
この例では、<table-name>オプションによって デフォルトのfilterテーブル以外のテーブルを使用できます。 <command>オプションは、 <chain-name>オプションで指定される規則の追加あるいは削除など、実行する 特定の作業を指示します。<chain-name>以降にあるのは パラメータとオプションのペアで、パケットが規則に適合した場合に起こることを定義します。
iptablesコマンドの構造を見てみると、他の殆どのコマンドとは異なり、 iptablesコマンドの長さと複雑性はその目的に基づいて変更出来ることを 認識しておくことが大切です。チェーンから規則の1つを削除する簡単なコマンドは、とても 短くできますが、特定のサブネットから送信され特定のパラメータとオプションを使用する パケットをフィルタするように設計したコマンドは、かなり長くなります。iptables コマンドを作成する時、幾つかのパラメータとオプションは、さらに以前のオプションの 要求を指定するために、他のパラメータとオプションを必要とする可能性があることを認識して おくとよいでしょう。有効な規則を構成するには、他のオプションセットを要求するパラメータと オプションがすべて満足されるまで継続する必要があります。
iptables -hと入力すると、iptablesコマンドの構造の総合的な一覧が表示されます。
16.3.3. コマンド
コマンドでは、iptablesが行う特定の動作を指定します。1つの iptablesコマンド文字列について指定できるのは、1つのコマンドだけです。 ヘルプコマンドを除くすべてのコマンドは、大文字で入力します。
iptablesのコマンドには、次のようなものがあります:
-A—指定したチェーンの終わりにiptables規則を追加します。これは、チェーン内の規則の順序が問題でない場合に単純に規則を追加するためのコマンドです。
-C—指定したチェーンに追加する前に特定の規則をチェックします。このコマンドは、パラメータとオプションを追加するときにプロンプトが表示されるので、複雑なiptables規則を作成する場合に便利です。
-D—番号で指定した規則を特定のチェーンから削除します。たとえば、チェーン内の5番目の規則を削除する場合は5を指定します。規則全体を入力すると、それに一致する規則がチェーンから削除されます。
-E — ユーザーが定義したチェーンの名前を変更します。テーブルの構造にはまったく影響を与えません。
-F—選択したチェーンからすべての規則を削除します。チェーンを指定しない場合は、すべてのチェーンのすべての規則が削除されます。
-h — コマンドの構造の一覧とコマンドパラメータ、オプションの簡単な説明などが表示されます。
-I — ユーザー定義の数値で指定された位置にチェーン内の規則を挿入します。数値が指定されて いない場合、iptablesはそのコマンドをチェーンの最上部に置きます。
警告 規則を追加するときは、使用するオプション(-Aか-I)に注意してください。 チェーン内にある規則の順番はどの規則をどのパケットに適用するかを決定するのに重要です。
-L—コマンドの後で指定するチェーン内にあるすべての規則を一覧表示します。チェーンとテーブルを指定しない場合は、デフォルトのfilterテーブル内にあるすべてのチェーンのすべての規則が一覧表示されます。それ以外の場合は、次の構文を使用して、規則を一覧するチェーンとテーブルを指定します。
iptables -L <chain-name> -t <table-name>
規則の番号や説明を可能にする-Lコマンドの強力なオプションについては、項16.3.7を参照してください。
-N—指定した名前で新しいチェーンを作成します。
-P—特定のチェーンについてデフォルトのポリシーを設定します。これによって、パケットがチェーン内にあるすべての規則を満たさない場合に、ACCEPTやDROPなど特定のターゲットに送ることができます。
-R — 特定のチェーンの規則を置き換えます。 規則の番号はチェーン名の後で指定する必要があります。チェーン内の最初の規則が、 規則番号「1」になります。
-X—指定したチェーンを削除します。どのテーブルについても、あらかじめ組み込まれているチェーンは削除できません。
-Z—特定のテーブルについてすべてのチェーンのバイトとパケットカウンタを0にします。
16.3.4. パラメータ
特定のチェーンにおける規則の追加、削除、挿入、交換などの規則を含む一定のiptablesコマンドを 指定すると、パケットフィルタリング規則を構築するためのパラメータが必要になります。
-c—特定の規則のカウンタをリセットします。このパラメータでは、PKTSオプションか、BYTESオプションを使用してリセットするカウンタを指定できます。
-d — 規則を満たすパケットの送信先ホスト名、IPアドレス、ネットワークの どれかを設定します。ネットワークと一致する場合、以下のようなIPアドレス/ネットマスクがサポートされます:
N.N.N.N/M.M.M.M — ここでN.N.N.Nは IPアドレスの範囲であり、 M.M.M.Mはネットマスクです。
N.N.N.N/M — ここで N.N.N.Nは IPアドレスの範囲であり、 Mはネットマスクです。
-f—断片化されたパケットのみに規則を適用します。
このパラメータの後で!オプションを使用すると、断片化されていないパケットのみに規則が適用されます。
-i — eth0やppp0などの着信ネットワーク インターフェイスを設定します。iptablesでは、このオプションパラメータを使用できるのは、 filterテーブルの場合はINPUTチェーンとFORWARDチェーンと共に、またnatテーブルと mangleテーブルの場合はPREROUTINGチェーンと共に、使用する時だけです。
このパラメータはまた、以下のような特殊オプションもサポートします:
!—このパラメータで指定したインターフェイスを規則から除外します。
+ — 特定の文字列に一致するすべてのインターフェイスを一致の対象とする ワイルドカード文字です。たとえば、-i eth+というパラメータを指定すると、 システム上にあるすべてのイーサネットインターフェイスに規則が適用され、ppp0など 他のインターフェイスには適用されません。
-i—パラメータを使用する場合にインターフェイスを指定しないと、すべてのインターフェイスが対象となります。
-j — パケットが特定の規則を満たした場合に特定のターゲットに ジャンプするよう指定します。-jオプションで使用できるターゲットには、 ACCEPT、DROP、QUEUE、RETURNと いう標準のオプションと、LOG、MARK、REJECTなど、 Red Hat Linux iptables RPM パッケージにデフォルトでロードされているモジュールを経由して 利用可能な拡張オプションがあります。この詳細と他のターゲットに関する情報はiptablesの manページを御覧下さい。
現在のチェーン外にあるユーザー定義のチェーンに、規則を満たすパケットを送ることができます。 そうすることで他の規則もそのパケットに適用できます。
ターゲットを指定しない場合、いかなる動作も行わずにパケットが通過します。しかし、 パケットは特定の規則を満たしたので、その規則のカウンタには1が加えられます。
-o — 1つの規則の為に発信ネットワークを設定します。 filterテーブルの場合はOUTPUTチェーンとFORWARDチェーン、 natテーブルとmangleテーブルの場合はPOSTROUTINGチェーン のみで使用できます。このパラメータのオプションは、着信ネットワークインターフェイスパラメータ (-i)の場合と同じです。
-p — 規則についてIPプロトコルを設定します。icmp、 tcp、udp、allのどれか、サポートしているプロトコルを 指定できます。さらには、/etc/protocolsに一覧表示してあるプロトコルも使用できます。 規則を作成している時点にこのオプションが省略されていると、allオプションがデフォルトに なります。
-s — 送信先パラメータ(-d)と同じ構文を使用して、 特定のパケットの送信元を設定します。
16.3.5. 比較オプション
異なるネットワークプロトコルは、特別な比較オプションを用意して、 そのプロトコルを使用して特定のパケットと一致するように特殊な設定をします。 もちろん、このプロトコルは最初に、-p tcp <protocol-name>を使用して iptablesコマンドの中に指定しておき(ここで <protocol-name>はターゲット プロトコルです。)、そのプロトコル用のオプションを利用できるように する必要があります。
16.3.5.1. TCPプロトコル
TCPプロトコル(-p tcp)では、以下の比較オプションを使用できます。
--dport — パケットの送信先ポートを設定します。ネットワークサービス名 (wwwやsmtpなど)、ポート番号、ポート番号の範囲のいずれかを 使用できます。ネットワークサービスの名前や、エイリアスとそのネットワークサービスが使用する ポート番号を閲覧するには、/etc/servicesファイルを参照してください。 --destination-portの比較オプションは、--dportと同義と なります。
ポート番号の範囲を指定するには、-p tcp --dport 3000:3200のように2つの番号を コロン(:)で区切ります。最大の有効範囲は、0:65535です。
また、--dportオプションの後で感嘆符(!)をフラグとして使用すると、 iptablesに対してそのネットワークサービスか、あるいはポートを使用しないすべての パケットを比較するように指定できます。
--sport — --dportと同じオプションを使用して、パケットの 送信元ポートを設定します。--source-portの比較オプションは--sportと 同義です。
--syn—一般にSYNパケットと呼ばれる、通信を開始するよう設計された すべてのTCPパケットを規則の対象にします。データを伝送するパケットは影響を受けません。--syn オプションの後で感嘆符(!)をフラグとして使用すると、SYNパケット以外のすべてのパケットが対象になります。
--tcp-flags — 特定のビット(フラグ)を持つTCPパケットを規則と比較される様にします。 --tcp-flagsの比較オプションは2つのパラメータを受け付けます。1番目のパラメータはマスクで、 パケット内でフラグが検査できるようにします。2番目のパラメータでは、一致するように設定する必要のあるフラグを 指定します。
使用できるフラグは以下のようになります:
ACK
FIN
PSH
RST
SYN
URG
ALL
NONE
たとえば、-p tcp --tcp-flags ACK,FIN,SYN SYNと指定すると、SYNフラグが設定されていてACKフラグとFINフラグは設定されていないTCPパケットのみが規則を満たします。
感嘆符(!)を--tcp-flagsの後で使用すると、比較オプションの 対応が逆転されます。
--tcp-option—特定のパケットで設定できるTCP特有のオプションを比較しようとします。感嘆符(!)を使用すると、意味を反対にすることができます。
16.3.5.2. UDPプロトコル
UDPプロトコル(-p udp)では、以下のオプションを使用できます。
--dport — サービス名、ポート番号、ポート番号の範囲のどれかを使用して、 UDPパケットの送信先ポートを指定します。--destination-portの比較オプションは --dportと同義となります。このオプションのさまざまな使用法については、 項16.3.5.1の--dport比較オプションを 参照してください。
--sport — サービス名、ポート番号、ポート番号の範囲のどれかを使用して、 UDPパケットの送信元ポートを指定します。--source-portの比較オプションと同義です。 このオプションのさまざまな使用法については、項16.3.5.1の --sport比較オプションを参照してください。
16.3.5.3. ICMPプロトコル
ICMP(Internet Control Message Protocol)を使用するパケットの場合(-p icmp)、 次のオプションを使用して比較を行うことができます:
--icmp-type—規則を満たすICMPタイプの番号か名前を設定します。有効なICMP名の一覧は、iptables -p icmp -hというコマンドを実行すると表示されます。
16.3.5.4. その他の比較オプションがあるモジュール
その他の比較オプションもiptablesコマンドによってロードされる モジュールで利用できます。比較オプションモジュールを使用するには、-m <module-name> などの-mオプションを 使用して、名前の指定でモジュールをロードする必要があります(<module-name>は モジュールの名前で入れ換えます)。
デフォルトで多数のモジュールを使用することができます。ユーザー独自のモジュールを作成して、 新しい比較オプションを使用することもできます。
多くのモジュールがありますが、ここではよく使用されるモジュールのみを説明します。
limitモジュール — この使用により特定の規則を満たすパケットの数を制限できます。 大量の一致パケットが同じメッセージでログを一杯にしたりシステムのリソースを無駄に使用することがないように して、規則の一致をログする時に特に便利です。
limitモジュールは以下のようなオプションを有効にします:
--limit—特定の時間帯に比較する回数を設定します。<number>/<time>という形式で回数と時間を指定します。たとえば、--limit 5/hourと指定すると、1時間に5回だけ規則が比較されます。
回数と時間を指定しない場合は、デフォルト値の3/hourが使用されます。
--limit-burst—同時に比較できるパケットの数を制限します。このオプションは、--limitオプションとともに使用してください。このオプションでは、同時に比較できるパケットの最大数を指定します。
値を指定しない場合、5つのパケットだけが規則を満たすことができます。
stateモジュール — 接続状態について比較を有効にします。
stateモジュールは以下のようなオプションを有効にします:
--state — 以下の接続状態についてパケットを比較します:
ESTABLISHED—確立された接続内にある他のパケットに関係があるパケットが規則を満たします。
INVALID—既知の接続に結び付けられないパケットが規則を満たします。
NEW—新しい接続を作成しているパケットか、あるいはそれまでになかった双方向接続の一部となっているパケットが規則を満たします。
RELATED—既存の接続と何らかの関係がある新しい接続を開始するパケットが規則を満たします。
これらの接続状態を複数組み合わせて使用するには、-m state --state INVALID,NEWのようにカンマで区切ります。
macモジュール — ハードウェアMACアドレスの比較を有効にします。
macモジュールは以下のようなモジュールを有効にします:
--mac-source — パケットの送信元であるネットワークインターフェイスカードの MACアドレスを比較します。この規則からMACアドレスを除外するには、--mac-source比較 オプションの後に感嘆符(!)を付けます。
他のモジュールで使用できる比較オプションを確認するには、 iptablesの manページを参照して下さい。
16.3.6. ターゲットオプション
パケットが特定の規則を満たすと、規則はそのパケットのさまざまな行方を決定し場合によっては追加動作を させることも可能です。各チェーンにはデフォルトのターゲットがあり、そのチェーンの規則を満たすパケットが ない場合か、あるいはパケットが満たした規則のいずれもがターゲットを指定していない場合に使用されます。
標準(デフォルト)のターゲットには以下のようなものがあります:
<user-defined-chain> — <user-defined-chain>はテーブル内の ユーザー定義のチェーンの名前で入れ換えます。このターゲットはパケットを ターゲットチェーンに渡します。
ACCEPT—パケットが送信先または別のチェーンに移動することを許可します。
DROP — パケットを送信したシステムには何も通知せずに パケットをドロップします。パケットを送信したシステムは不具合の報告も受けません。
QUEUE — ユーザースペースのアプリケーションで処理されるように パケットをキューに登録します。
RETURN — 現在のチェーン内の規則に対するパケットのチェックを停止します。 RETURNターゲットのパケットが別のチェーンから呼び出されたチェーンの規則を満たす場合、 そのパケットは最初のチェーンに戻され、そこで規則チェックが再開されます。組み込み型のチェーンで RETURN規則を使用していてパケットが前のチェーンに戻れない場合は、現在のチェーンの デフォルトターゲットによって処理が決定されます。
これらの標準ターゲットのほかに、「ターゲットモジュール」と呼ばれる拡張機能で各種のターゲットを使用できます。比較オプションモジュールの詳細については、項16.3.5.4を参照してください。
多くの拡張ターゲットモジュールがありますが、ほとんどは特定のテーブルか状況のみに適用されます。デフォルトでRed Hat Linuxに含まれているターゲットモジュールでよく使用されるものには、次のようなものがあります:
LOG — 規則を満たすすべてのパケットを記録します。パケットを記録するのは カーネルなので、出力先は/etc/syslog.confファイルによって決定されます。 デフォルトの出力先は、/var/log/messagesファイルです。
LOGターゲットでは、さまざまなオプションを使用して記録を行う方法を指定できます:
--log-level — イベントを記録する優先順位を設定します。優先順位の 一覧については、syslog.confのmanページを参照してください。
--log-ip-options—IPパケットのヘッダーで設定されているオプションを記録します。
--log-prefix — ログを記録するときに、行の先頭に29文字までの 文字列を設置します。これは、パケットの記録とともに使用するsyslogフィルタを作成する 場合にも便利です。
--log-tcp-options — TCPパケットのヘッダーで設定されている オプションを記録します。
--log-tcp-sequence—パケットのTCPシーケンス番号を記録します。
REJECT — パケットを送信したシステムにエラーパケットを送り返して、 パケットをドロップします。
REJECTターゲットでは、--reject-with <type>(<type>は 拒絶のタイプ)オプションを使用して、エラーパケットと共に返送される詳細情報を指定できます。 他のオプションが使用されていない場合、メッセージport-unreachableが デフォルトで与えられる<type>のエラーです。 使用可能な<type>オプションの総合一覧は iptablesのmanページで御覧下さい。
natテーブルを使用したIPマスカレード、又はmangleテーブルを使用した パケット変更で役にたつものなど、その他のターゲット拡張の幾つかは、iptablesの manページを参照してください。
16.3.7. リストオプション
デフォルトのリストコマンドiptables -Lは、デフォルトのフィルタテーブルの現在の チェーンについて非常に基本的な概要情報を提供します。追加のオプションは更に詳細情報を提供します:
-v—各チェーンがチェックしたパケット数とバイト数、各規則を満たしたパケット数とバイト数、特定の規則に適用されるインターフェイスなど、冗長な情報を出力します。
-x—数値の正確な値を出力します。負荷が大きいシステムでは、特定のチェーンか、あるいは規則がチェックしたパケット数とバイト数の終わりにK(キロ)、M(メガ)、G(ギガ)を付けて表現を省略する場合があります。このオプションを指定すると、正確な値が出力されます。
-n—IPアドレスとポート番号を、デフォルトのホスト名とネットワークサービスの形式ではなく数値形式で出力します。
--line-numbers—各チェーンの規則の横にチェーン内の順序番号を出力します。このオプションは、特定の規則を削除する場合や規則を挿入する場所を探す場合に便利です。
-t — テーブル名を指定します。