iptableのルールを追加する

くわぞう
(2006年5月31日 04:06) |
■まずは設定を見る。 
# iptables -L RH-Firewall-1-INPUT -n --line-number
Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source    destination
1    ACCEPT     all  --  0.0.0.0/0 0.0.0.0/0
2    ACCEPT     all  --  0.0.0.0/0 0.0.0.0/0
3    ACCEPT     icmp --  0.0.0.0/0 0.0.0.0/0 icmp type 255
4    ACCEPT     esp  --  0.0.0.0/0 0.0.0.0/0
5    ACCEPT     ah   --  0.0.0.0/0 0.0.0.0/0
6    ACCEPT     udp  --  0.0.0.0/0 224.0.0.251         udp dpt:5353
7    ACCEPT     udp  --  0.0.0.0/0 0.0.0.0/0 udp dpt:631
8    ACCEPT     all  --  0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9    ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
10   ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
11   ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
12   ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
13   ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
14   REJECT     all  --  0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
■RH-Firewall-1-INPUTの9と10の間にUDP53はACCEPTとしてやりたい。 
# iptables -I RH-Firewall-1-INPUT 9 -p udp --dport 53 -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
※ちなみに順番を無視して設定を後ろに追加するなら、-Iオプションでな、-Aオプションでよいです。 
# iptables -A RH-Firewall-1-INPUT -p udp ...
 しかしRH-Firewall-1-INPUTでは一番最後の行はall Rejectになっているので、途中の行に足さなければなりません。 ※また、すでにある行を編集するには、 
# iptables -R RH-Firewall-1-INPUT 9 ...
とします。 そして、また設定をみてみよう。 
# iptables -L RH-Firewall-1-INPUT -n --line-number
Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source    destination
1    ACCEPT     all  --  0.0.0.0/0 0.0.0.0/0
2    ACCEPT     all  --  0.0.0.0/0 0.0.0.0/0
3    ACCEPT     icmp --  0.0.0.0/0 0.0.0.0/0 icmp type 255
4    ACCEPT     esp  --  0.0.0.0/0 0.0.0.0/0
5    ACCEPT     ah   --  0.0.0.0/0 0.0.0.0/0
6    ACCEPT     udp  --  0.0.0.0/0 224.0.0.251         udp dpt:5353
7    ACCEPT     udp  --  0.0.0.0/0 0.0.0.0/0 udp dpt:631
8    ACCEPT     all  --  0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9    ACCEPT     udp  --  0.0.0.0/0 0.0.0.0/0 udp dpt:53
10   ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
11   ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
12   ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
13   ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
14   ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
15   REJECT     all  --  0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
しかし、設定ファイルのほうはまだ反映されていない。 
# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
■設定ファイルに保存する。 
# iptables-save > /etc/sysconfig/iptables
となります。

カテゴリ:

このブログ記事について

このページは、くわぞうが2006年5月31日 04:06に書いたブログ記事です。

ひとつ前のブログ記事は「iptablesのChainとTarget」です。

次のブログ記事は「iptableのルールを削除、復旧させる」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

Powered by Movable Type 4.1

検索

最近のブログ記事

カテゴリ