Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.8.9.2.3. iptables パラメーターオプション

特定のチェーン内でルールを追加、追加、削除、挿入、または置き換えるのに使用する iptables コマンドなど、パケットフィルタリングルールを構成するためにさまざまなパラメーターが必要になります。
  • -c : 特定のルールのカウンターをリセットします。このパラメーターは PKTS、と BYTES オプションを指定して、リセットするカウンターを指定します。
  • -d : ルールに一致するパケットの宛先ホスト名、IP アドレス、またはネットワークを設定します。ネットワークを照合する場合、以下の IP アドレス/ネットマスク形式がサポートされます。
    • N.N.N.N/M.M.M.M : N.N.N.N は IP アドレス範囲で、M.M.M.M はネットマスクです。
    • N.N.N.N/M : N.N.N.N は IP アドレス範囲で、M はビットマスクです。
  • -f : このルールを適用するのは、断片化されたパケットにのみ適用されます。
    このパラメーターの前に感嘆符文字(!)オプションを使用して、アンフラグされたパケットのみが一致するように指定できます。
    注記
    フラグメント化されたパケットとフラグメントされていないパケットを区別することは可能ですが、断片化されたパケットは IP プロトコルの標準部分となります。
    当初、IP パケットが異なるフレームサイズを持つネットワークを通過できるように設計されており、この日付の断片化は、不適切なパケットを使用して DoS 攻撃を生成するのに一般的に使用されます。また、IPv6 は断片化を完全に拒否することを認識してください。
  • -i : は、eth0 やなどの受信ネットワークインターフェースを設定し ppp0ます。では iptables、このオプションのパラメーターを、テーブルとおよび filter テーブルを持つ PREROUTING チェーンと使用する場合のみ INPUT チェーンおよび FORWARD チェーン nat と併用でき mangle ます。
    このパラメーターは、以下の特別なオプションもサポートします。
    • exclamation point(!): ディレクティブを逆にします。つまり、指定されたインターフェースがこのルールから除外されます。
    • プラス文字(+)- 指定した文字列に一致するすべてのインターフェースを照合するために使用されるワイルドカード文字。たとえば、パラメーター -i eth+ は、このルールをイーサネットインターフェースに適用しますが、等の他のインターフェースは除外し ppp0ます。
    -i パラメーターが使用されていてもインターフェースが指定されていない場合、すべてのインターフェースがルールの影響を受けます。
  • -j : パケットが特定のルールにマッチすると、指定したターゲットに移動します。
    標準ターゲットは ACCEPT、、DROP QUEUE、およびです RETURN
    拡張オプションは、Red Hat Enterprise Linux iptables RPM パッケージでデフォルトで読み込まれるモジュールでも利用できます。これらのモジュールの有効なターゲットには LOG MARK、、REJECT、が含まれます。これらおよびその他のターゲットの詳細は、iptables man ページを参照してください。
    このオプションを使用して、パケットに一致するパケットを現在のチェーン外のユーザー定義チェーンに転送し、他のルールをパケットに適用することもできます。
    ターゲットを指定しないと、パケットはアクションを実行せずにルールを渡します。ただし、このルールのカウンターは 1 つ増えます。
  • -o : ルールの発信ネットワークインターフェースを設定します。このオプションは、filter テーブルの OUTPUT チェーンおよび FORWARD チェーンと、nat および mangle テーブルの POSTROUTING チェーンにのみ有効です。このパラメーターは、受信ネットワークインターフェースパラメーター(-i)と同じオプションを受け入れます。
  • -p <protocol> : ルールの影響を受ける IP プロトコルを設定します。これは icmp、、tcp udp、またはのいずれかを使用するか all、またはこれらのいずれかまたは別のプロトコルを表す数値の値になります。/etc/protocols ファイルに記載されているプロトコルを使用することもできます。
    all」プロトコルは、サポートされるすべてのプロトコルにルールが適用されることを意味します。このルールでプロトコルが一覧表示されていない場合、デフォルトはall"" に設定されます。
  • -s : destination(-d)パラメーターと同じ構文を使用して、特定のパケットのソースを設定します。