Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.8.9.2.5. ターゲットオプション

パケットが特定のルールにマッチする場合、ルールはパケットを複数の異なるターゲットに転送し、適切なアクションを決定することができます。各チェーンにはデフォルトのターゲットがあります。これは、そのチェーン上のルールがパケットにマッチする場合や、パケットに一致するルールがターゲットを指定するルールがない場合に使用されます。
以下は標準ターゲットになります。
  • <user-defined-chain> : テーブル内のユーザー定義チェーン。ユーザー定義チェーン名は一意でなければなりません。このターゲットは、パケットを指定チェーンに渡します。
  • ACCEPT : 宛先または別のチェーンへのパケットを許可します。
  • DROP : リクエスターに応答せずにパケットをドロップします。パケットを送信したシステムは、失敗について通知されません。
  • QUEUE : パケットは、ユーザー空間アプリケーションによって処理するためにキューに置かれます。
  • RETURN : 現在のチェーンのルールに対するパケットの確認を停止します。RETURN ターゲットのあるパケットが別のチェーンから呼び出されたチェーン内のルールと一致する場合、そのパケットは最初のチェーンに返され、停止先のルールを確認するようになります。RETURN ルールが組み込みチェーンで使用され、パケットが以前のチェーンに移動できない場合は、現在のチェーンのデフォルトターゲットが使用されます。
さらに、他のターゲットを指定できるようにする拡張機能を使用できます。これらの拡張機能はターゲットモジュールまたは match オプションモジュールと呼ばれ、ほとんどの場合は特定のテーブルおよび状況にのみ適用されます。match オプションモジュール 「追加の一致オプションモジュール」 の詳細は、を参照してください。
多くの拡張ターゲットモジュールが存在し、そのほとんどは特定のテーブルまたは状況にのみ適用されます。Red Hat Enterprise Linux にデフォルトで含まれている最も一般的なターゲットモジュールには、以下のものがあります。
  • LOG : このルールに一致するすべてのパケットをログに記録します。パケットはカーネルによりログ記録されるため、/etc/syslog.conf ファイルはこれらのログエントリーが書き込まれる場所を決定します。デフォルトでは、これらは /var/log/messages ファイルに配置されます。
    LOG ターゲットの後に追加オプションを使用して、ロギングが実行される方法を指定できます。
    • --log-level : ロギングイベントの優先度を設定します。優先順位の一覧は、syslog.conf man ページを参照してください。
    • --log-ip-options : IP パケットのヘッダーに設定されたオプションをログに記録します。
    • --log-prefix : 書き込み時にログ行の前に最大 29 文字の文字列を配置します。これは、syslog フィルターを作成してパケットロギングとともに使用する場合に便利です。
      注記
      このオプションの問題により、log-prefix の値に末尾のスペースを追加する必要があります。
    • --log-tcp-options : TCP パケットのヘッダーに設定されたオプションをログに記録します。
    • --log-tcp-sequence : ログ内のパケットの TCP シーケンス番号を書き込みます。
  • REJECT : エラーパケットをリモートシステムに戻し、パケットを破棄します。
    REJECT ターゲットの受け入れ( <type> --reject-with <type> は rejection タイプ)により、エラーパケットで詳細情報が返されます。その他のオプション port-unreachable が使用されていない場合、メッセージはデフォルトのエラータイプです。<type> オプションの全一覧は、iptables man ページを参照してください。
テーブルを使用した IP マスカレードや、nat テーブルを使用したパケットの変更に役立つ他のターゲット拡張機能は mangleiptables man ページを参照してください。