2011年04月25日

iptableのチェインの途中にルールを差し込む

既に動いてるiptableの途中に新しくルールを差し込む方法。
INPUTにルールを追加する場合の例:
# /sbin/iptables -n -L INPUT --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
 INPUTチェインを見ると、RH-Firewall-1-INPUTチェインを参照しているので、そっちを見る。
# /sbin/iptables -n -L RH-Firewall-1-INPUT --line-number
Chain RH-Firewall-1-INPUT (1 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:445
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
8 DROP all -- 0.0.0.0/0 0.0.0.0/0
 リストの番号を見て、入れたい番号を見る。例えば、6番の次に192.168.0.0/16から3306番宛tcpを追加する時は、
# /sbin/iptables -I RH-Firewall-1-INPUT 6 \
-m state --state NEW -m tcp -p tcp --dport 3306 -s 192.168.0.0/16 -j ACCEPT
# /sbin/iptables -n -L RH-Firewall-1-INPUT --line-number
Chain RH-Firewall-1-INPUT (1 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:445
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
7 ACCEPT tcp -- 192.168.0.0/16 0.0.0.0/0 state NEW tcp dpt:3306
8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
9 DROP all -- 0.0.0.0/0 0.0.0.0/0
 こんな具合。
 一時的なものでないなら、追加した後忘れず /etc/sysconfig/iptables あたりにも追加して、リブートしても忘れないようにしておくのがよい。


タグ:Linux 管理
posted by usoinfo at 10:47 | Comment(0) | 開発 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

×

この広告は180日以上新しい記事の投稿がないブログに表示されております。