- 作者+匿名
- 出典❤コンピュータとネットワークのセキュリティ
- 発売時期・・・ 2021-03-02
iptablesは、LinuxカーネルのIPパケットフィルタリングルールを設定、維持、およびチェックするために使用されます。Linuxのファイアウォールとして、その機能は非常に強力です。3つのテーブルがあり、各テーブルにはルールチェーンがあります。
- filterは、組み込みのチェーンINPUT(着信パケットの処理)、FORWARD(渡されたパケットの処理)、およびOUTPUT(ローカルで生成されたパケットの処理)を含むデフォルトのテーブルです。
- NATテーブルが照会されると、新しい接続グループが検出されたことが示されます。これは、PREROUTING(着信グループを変更)、OUTPUT(ルーティング前にローカルグループを変更)、POSTROUTING(準備されたグループを変更)の3つの組み込みチェーンで構成されます。グループ)。
- マングルテーブルは、指定されたグループを変更するために使用されます。これには、PREROUTING(ルートの前に入力されたグループを変更する)とOUTPUT(ルートの前にローカルグループを変更する)の2つの組み込みルールがあります。以下に、iptablesの一般的な構成を簡単に紹介します。
iptablesルールを表示する
現在のiptablesポリシーを表示するには、iptables-Lコマンドを使用します。デフォルトのビューは、次のようにフィルターテーブルのコンテンツです。
root@kali:~# iptables-L
Chain INPUT(policy ACCEPT)
target prot opt source destination
f2b-sshd tcp – anywhere anywhere multiport dports ssh
Chain FORWARD(policy ACCEPT)
target prot opt source destination
Chain OUTPUT(policy ACCEPT)
target prot opt source destination
Chain f2b-sshd(1 references)
target prot opt source destination
RETURNall-anywhere anywhere
チェーン戦略を設定する
フィルタテーブルの場合、デフォルトのチェーンポリシーはACCEPTです。次のコマンドを使用してチェーンポリシーを変更できます。
root@kali:~# iptables-P INPUT DROP
root@kali:~# iptables-P FORWARD DROP
root@kali:~# iptbales-P OUTPUT DROP
上記のコマンド設定は、受信、転送、送信されたパケットを破棄し、厳密なパケット管理を実装します。受信パケットと送信パケットの両方が破棄されるように設定されているため、他のルールをさらに構成するときは、INPUTとOUTPUTの個別の構成に注意する必要があります。もちろん、このマシンがパケットを送信することを信頼している場合は、上記の3番目のルールを構成する必要はありません。
既存のルールをクリアする
次のルールを使用して、既存のルールをクリアできます。
root@kali:~# iptables-F
ネットワークポート転送ルール
ファイアウォールまたはゲートウェイとして使用されるサーバーの場合、1つのネットワークポートがパブリックネットワークに接続され、他のネットワークポートからのパケットがこのネットワークポートに転送されて、内部ネットワークからパブリックネットワークへの通信が実現されます。内部ネットワークとeth1がパブリックネットワークに接続されている場合、構成ルールは次のとおりです。
root@kali:~# iptables-A FORWARD-i eth0-o eth1-j ACCEPT
ポート転送ルール
このコマンドは、ポート888のパケットをポート22に転送するため、SSH接続はポート888を介して行うこともできます。
root@kali:~# iptables-t nat-A PREROUTING-p tcp-d 192.168.1.1 –dport 888-j DNAT--to 192.168.1.1:22
DoS攻撃の防止
以下に示すように、拡張モジュールの制限を使用して、DoS攻撃を防ぐためにiptablesルールを構成することもできます。
root@kali:~# iptables-A INPUT-p tcp –dport 80-m limit –limit 25/minute--limit-burst 100-j ACCEPT
- -1分あたり25の点灯は、1分あたりの最大接続数が25に制限されていることを示します。
- --Litmit-burst 100は、接続の総数が100を超えると、litmit / minute制限がアクティブになることを示します。