2.8.3.2. 基本的なファイアウォールポリシー

基本的なファイアウォールポリシーを確立すると、より詳細なユーザー定義ルールを構築するための基盤が作成されます。

各 iptables チェーンはデフォルトのポリシーで構成されており、ファイアウォールの全体的なルールセットを定義するデフォルトポリシーと動作するゼロ以上のルールで構成されます。

チェーンのデフォルトポリシーは DROP または ACCEPT のどちらかです。セキュリティー関連管理者は通常、DROP のデフォルトポリシーを実装し、ケースごとに特定のパケットのみを許可します。たとえば、以下のポリシーにより、ネットワークゲートウェイ上の送受信パケットがすべてブロックされます。

~]# iptables -P INPUT DROP
~]# iptables -P OUTPUT DROP

また、ファイアウォールから移行先ノードへルーティング されるネットワークトラフィック（拒否されるパケット ）も推奨され、内部クライアントがインターネットへの不正な公開を防ぎます。これを行うには、以下のルールを使用します。

~]# iptables -P FORWARD DROP

各チェーンのデフォルトポリシーを確立したら、特定のネットワークおよびセキュリティー要件に対して追加のルールを作成して保存することができます。

以下のセクションでは、iptables ルールを保存する方法と、iptables ファイアウォールをビルドする際に実装するルールの一部を概説します。