Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.13. を使用した IP セットの設定および制御 iptables

firewalld サービスと iptables (および ip6tables)サービス間の基本的な相違点は以下のとおりです。
  • iptables service/etc/sysconfig/iptables および /etc/sysconfig/ip6tables に設定を保存し、firewalld/usr/lib/firewalld/ および /etc/firewalld/ のさまざまな XML ファイルに保存します。Red Hat Enterprise Linux にデフォルトで firewalld がインストールされているため、/etc/sysconfig/iptables ファイルが存在しない点に注意してください。
  • iptables service では、1 つのルールすべてをフラッシュすると、古いルールをすべてフラッシュして /etc/sysconfig/iptables から新しいルールをすべて読み取りますが、firewalld ではすべてのルールを再作成されません。差分のみが適用されます。そのため、firewalld は既存の接続が失われないように、ランタイム中に設定を変更できます。
いずれの場合でも iptables tool を使用してカーネルパケットフィルターと対話します。
firewalld ではなく iptables および ip6tables サービスを使用するには、最初に root で以下のコマンドを実行して firewalld を無効にします。
~]# systemctl disable firewalld
~]# systemctl stop firewalld
以下のコマンドを入力して root として入力して、iptables-services パッケージをインストールします。
~]# yum install iptables-services
iptables-services パッケージには iptables サービスおよび ip6tables サービスが含まれます。
次に、iptables サービスおよび ip6tables サービスを起動するには、root で以下のコマンドを入力します。
~]# systemctl start iptables
~]# systemctl start ip6tables
システム起動時にサービスが起動できるようにするには、以下のコマンドを入力します。
~]# systemctl enable iptables
~]# systemctl enable ip6tables
ipset ユーティリティーは、Linux カーネルでの IP セット の管理に使用されます。IP セットは、IP アドレス、ポート番号、IP アドレスのペア、または IP アドレスとポート番号のペアを保存するフレームワークです。セットは、セットが非常に大きい場合でも、非常に高速に一致するようにインデックス化されます。IP セットを使用すると、より簡単かつ管理可能な設定が可能になり、iptables を使用する場合にパフォーマンス上のメリットが提供されます。iptables は、カーネル内の特定のセットを保護する参照の設定の参照セットを参照するターゲットと一致します。参照の単一の参照がある間は、セットを破棄できません。
ipset を使用すると、以下のような iptables コマンドをセットで置き換えることができます。
~]# iptables -A INPUT -s 10.0.0.0/8 -j DROP
~]# iptables -A INPUT -s 172.16.0.0/12 -j DROP
~]# iptables -A INPUT -s 192.168.0.0/16 -j DROP
このセットは、以下のように作成されます。
~]# ipset create my-block-set hash:net
~]# ipset add my-block-set 10.0.0.0/8
~]# ipset add my-block-set 172.16.0.0/12
~]# ipset add my-block-set 192.168.0.0/16
そのセットは以下のように iptables コマンドで参照されます。
~]# iptables -A INPUT -m set --set my-block-set src -j DROP
セットが設定時間で保存時に複数回使用される場合。セットに多くのエントリーが含まれている場合、処理時間が節約されます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。