Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
2.8.7. iptables と接続追跡
接続 状態に基づいて、サービスへの接続を検査および制限できます。モジュールは、接続追跡 と呼ばれるメソッドを iptables 使用して受信接続に関する情報を保存します。以下の接続状態に基づいてアクセスを許可または拒否できます。
NEW
: HTTP リクエストなどの新しい接続を要求するパケット。ESTABLISHED
: 既存の接続の一部であるパケット。RELATED
: 新しい接続を要求しているが、既存の接続の一部であるパケット。たとえば、FTP はポート 21 を使用して接続を確立しますが、データは別のポート(通常はポート 20)で転送されます。INVALID
: 接続追跡テーブル内の接続の一部ではないパケット。
プロトコル自体がステートレスである場合でも(UDP など)、すべてのネットワークプロトコルで iptables 接続追跡のステートフル機能を使用できます。以下の例は、接続追跡を使用して、確立された接続に関連するパケットのみを転送するルールを示しています。
~]# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT