Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.8.7. iptables と接続追跡

接続 状態に基づいて、サービスへの接続を検査および制限できます。モジュールは、接続追跡 と呼ばれるメソッドを iptables 使用して受信接続に関する情報を保存します。以下の接続状態に基づいてアクセスを許可または拒否できます。
  • NEW : HTTP リクエストなどの新しい接続を要求するパケット。
  • ESTABLISHED : 既存の接続の一部であるパケット。
  • RELATED : 新しい接続を要求しているが、既存の接続の一部であるパケット。たとえば、FTP はポート 21 を使用して接続を確立しますが、データは別のポート(通常はポート 20)で転送されます。
  • INVALID : 接続追跡テーブル内の接続の一部ではないパケット。
プロトコル自体がステートレスである場合でも(UDP など)、すべてのネットワークプロトコルで iptables 接続追跡のステートフル機能を使用できます。以下の例は、接続追跡を使用して、確立された接続に関連するパケットのみを転送するルールを示しています。
~]# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT