「iptables 接続状態」の版間の差分

提供: セキュリティ
移動: 案内検索
 
(同じ利用者による、間の2版が非表示)
行1: 行1:
<!--
 
vim: filetype=mediawiki
 
-->
 
 
[[iptables]] は、サービスへの接続の検査と制限を接続状態に基いて実施できます。[[iptables]] では、接続追跡(connection tracking)と呼ばれる方法で、着信接続の情報を保持しています。
 
[[iptables]] は、サービスへの接続の検査と制限を接続状態に基いて実施できます。[[iptables]] では、接続追跡(connection tracking)と呼ばれる方法で、着信接続の情報を保持しています。
  
行7: 行4:
  
 
== 概要 ==
 
== 概要 ==
 
 
下記の接続状態に基いて、アクセスの許可や拒否ができます。
 
下記の接続状態に基いて、アクセスの許可や拒否ができます。
  
行25: 行21:
 
|-
 
|-
 
| INVALID
 
| INVALID
| 接続ついてきテーブルの接続の一部ではないパケットです。
+
| 接続追跡テーブルの接続の一部ではないパケットです。
 
|}
 
|}
 
 
== 使い方 ==
 
== 使い方 ==
 
+
プロトコル自体が'''ステートレス'''であっても([[UDP]]など)、[[iptables]] の接続追跡は、'''ステートフル''' な機能を任意の'''ネットワークプロトコル''' に使用できます。
プロトコル自体が[[ステートレス]]であっても([[UDP]]など)、[[iptables]] の接続追跡は、[[ステートフル]] な機能を任意の[[ネットワークプロトコル]] に使用できます。
+
  
 
以下の設定では、既存の接続と関連付けられた[[パケット]] のみを扱えます。
 
以下の設定では、既存の接続と関連付けられた[[パケット]] のみを扱えます。
行36: 行30:
 
iptables -A INPUT -m state ESTABLISHED,RELATED -i ACCEPT
 
iptables -A INPUT -m state ESTABLISHED,RELATED -i ACCEPT
 
</syntaxhighlight>
 
</syntaxhighlight>
 
 
== 関連項目 ==
 
== 関連項目 ==
* [[iptables]]
+
{{iptables}}
* [[iptables DNSを許可する]]
+
<!-- vim: filetype=mediawiki
 +
-->

2015年9月22日 (火) 15:39時点における最新版

iptables は、サービスへの接続の検査と制限を接続状態に基いて実施できます。iptables では、接続追跡(connection tracking)と呼ばれる方法で、着信接続の情報を保持しています。

概要

下記の接続状態に基いて、アクセスの許可や拒否ができます。

接続状態
接続状態 説明
NEW HTTP 要求などの新規接続を要求するパケットです。
ESTABLISHED 既存の接続の一部であるパケットです。
RELATED 新規接続を要求しているが、既存の接続の一部であるパケットです。 ftp は、コントロール用に21番ポートを使用しますが、データは、20番ポートを使用します。
INVALID 接続追跡テーブルの接続の一部ではないパケットです。

使い方

プロトコル自体がステートレスであっても(UDPなど)、iptables の接続追跡は、ステートフル な機能を任意のネットワークプロトコル に使用できます。

以下の設定では、既存の接続と関連付けられたパケット のみを扱えます。

iptables -A INPUT -m state ESTABLISHED,RELATED -i ACCEPT

関連項目