Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

48.9.3.5. ターゲットオプション

パケットが特定のルールにマッチすると、ルールはパケットを、適切なアクションを決定する多数の異なるターゲットに転送することができます。各チェーンにはデフォルトのターゲットがあります。このターゲットは、そのチェーンのルールがパケットにマッチしていない場合や、パケットにマッチするルールがない場合はターゲットを指定します。
標準ターゲットは次のとおりです。
  • <user-defined-chain > - テーブル内のユーザー定義のチェーン。ユーザー定義のチェーン名は一意である必要があります。このターゲットは、パケットを指定されたチェーンに渡します。
  • ACCEPT - 宛先または別のチェーンへのパケットを許可します。
  • DROP - リクエスターに応答せずにパケットをドロップします。パケットを送信したシステムは、失敗について通知されません。
  • QUEUE - パケットは、ユーザー空間のアプリケーションによって処理されるためにキューに置かれます。
  • RETURN: 現在のチェーンのルールに対するパケットの確認を停止します。RETURN ターゲットを持つパケットが、別のチェーンから呼び出されたチェーン内のルールと一致する場合、パケットは最初のチェーンに返され、停止した場所の確認を再開します。RETURN ルールが組み込みチェーンで使用され、そのパケットが以前のチェーンに移動できない場合は、現在のチェーンのデフォルトターゲットが使用されます。
さらに、他のターゲットを指定できるようにする拡張機能を利用できます。これらの拡張機能はターゲットモジュールまたは一致オプションモジュールと呼ばれ、そのほとんどは特定のテーブルおよび状況にのみ適用されます。一致オプションモジュールの詳細は、「追加の一致オプションモジュール」 を参照してください。
多くの拡張ターゲットモジュールが存在しますが、そのほとんどは特定のテーブルまたは状況にのみ適用されます。Red Hat Enterprise Linux にデフォルトで含まれている最も一般的なターゲットモジュールの一部は次のとおりです。
  • LOG - このルールに一致するパケットをすべてログに記録します。パケットはカーネルによってログに記録されるため、/etc/syslog.conf ファイルはこれらのログエントリーが書き込まれる場所を決定します。デフォルトでは、それらは /var/log/messages ファイルに配置されます。
    LOG ターゲットの後に追加オプションを使用すると、ロギングが発生する方法を指定できます。
    • --log-level - ロギングイベントの優先度レベルを設定します。優先度レベルの一覧は、syslog.conf の man ページを参照してください。
    • --log-ip-options - IP パケットのヘッダーに設定されたオプションをログに記録します。
    • --log-prefix - 書き込み時にログ行の前に最大 29 文字の文字列を配置します。これは、パケットロギングと併用する syslog フィルターを作成するのに役立ちます。
      注記
      このオプションの問題により、末尾のスペースを log-prefix 値に追加する必要があります。
    • --log-tcp-options - TCP パケットのヘッダーに設定されたオプションをログに記録します。
    • --log-tcp-sequence - パケットの TCP シーケンス番号をログに書き込みます。
  • REJECT - エラーパケットをリモートシステムに送信し、パケットをドロップします。
    REJECT ターゲットは --reject-with < type > (< type > は rejection タイプ)を受け入れます。これにより、エラーパケットとともにより詳細な情報が返されます。メッセージ ポート到達不能 は、他のオプションが使用されていない場合に指定されるデフォルトのエラータイプです。< type> オプションの完全なリストは、iptables の man ページを参照し てください。
nat テーブルを使用した IP マスカレード、または mangle テーブルを使用したパケット変更に便利な複数のターゲット拡張機能は、iptables の man ページにあります。