「iptables 接続状態」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> iptables は、サービスへの接続の検査と制限を接続状態に基いて実施できます。iptables では、接...」) |
|||
| 行39: | 行39: | ||
== 関連項目 == | == 関連項目 == | ||
* [[iptables]] | * [[iptables]] | ||
| + | * [[iptables DNSを許可する]] | ||
2013年8月17日 (土) 21:42時点における版
iptables は、サービスへの接続の検査と制限を接続状態に基いて実施できます。iptables では、接続追跡(connection tracking)と呼ばれる方法で、着信接続の情報を保持しています。
概要
下記の接続状態に基いて、アクセスの許可や拒否ができます。
| 接続状態 | 説明 |
|---|---|
| NEW | HTTP 要求などの新規接続を要求するパケットです。 |
| ESTABLISHED | 既存の接続の一部であるパケットです。 |
| RELATED | 新規接続を要求しているが、既存の接続の一部であるパケットです。 ftp は、コントロール用に21番ポートを使用しますが、データは、20番ポートを使用します。 |
| INVALID | 接続ついてきテーブルの接続の一部ではないパケットです。 |
使い方
プロトコル自体がステートレスであっても(UDPなど)、iptables の接続追跡は、ステートフル な機能を任意のネットワークプロトコル に使用できます。
以下の設定では、既存の接続と関連付けられたパケット のみを扱えます。
iptables -A INPUT -m state ESTABLISHED,RELATED -i ACCEPT