トップ > いつか記憶がなくなる自分へ > iptablesはファイアウォールとパケット転送ができる

iptablesはファイアウォールとパケット転送ができる

いつか記憶がなくなる自分へ

iptablesでポート転送の設定をして」と言われました。

AWSのCentOS6に「他のインスタンスに転送できるようにiptablesの設定をして」と言われました。
何?iptablesって?

iptablesは、Linuxに搭載されていてパケットのルールを設定できます。

http://smilejapan.net/wiki/index.php?plugin=ref&page=iptables%E3%81%A8%E3%81%AF%EF%BC%9F&src=iptables-1.gif
iptablesとは? - SMILE JAPAN WIKI

CentOS7からファイアウォールは、iptablesからfirewalldへと変更されました。

qiita.com

設定はコマンドと設定ファイルを書く方法があります。

コマンドで設定する時

iptables [-t テーブル] [コマンド] [チェイン] [条件] [ターゲット]

設定ファイルを書いて設定する時
設定ファイルの場所 : /etc/sysconfig/iptables

$ sudo cat /etc/sysconfig/iptables
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 54321 -j DNAT --to-destination 10.0.1.1:1521
-A PREROUTING -p tcp -m tcp --dport 54322 -j DNAT --to-destination 10.0.1.2:80
-A POSTROUTING --dst 10.0.1.1 -p tcp -m tcp --dport 1521 -j SNAT --to-source 10.0.1.3
-A POSTROUTING --dst 10.0.1.2 -p tcp -m tcp --dport 80 -j SNAT --to-source 10.0.1.3
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

受信したパケットはChainというルートを通って処理されます。

https://eng-entrance.com/wp-content/uploads/2016/07/chain.png
【丁寧解説】Linuxファイアウォール iptablesの使い方

https://oxynotes.com/wp-content/uploads/iptables01.png
コピペから脱出!iptablesの仕組みを理解して環境に合わせた設定をしよう | OXY NOTES

https://cacoo.com/diagrams/zWJRlTb4nFY0UoYy-B6C43.png
iptablesの設定 入門編 - Murayama blog.

Chainの種類
名前 設定できるテーブル 説明
INPUT filter, magnle 入ってくるパケットについてのチェイン
OUTPUT filter, nat, magnle 出てゆくパケットについてのチェイン
FORWARD filter パケットを転送についてのチェイン
PREROUTING nat, magnle 受信時にアドレスを変換するチェイン
POSTROUTING nat 送信時にアドレスを変換するチェイン

iptablesは、ファイアウォールとして使用するパケットフィルタリング機能です。

https://knowledge.sakura.ad.jp/wp-content/uploads/2016/01/4048-011.png
ファイアウォールiptablesを簡単解説~初心者でもよくわかる!VPSによるWebサーバー運用講座(4) | さくらのナレッジ

パケットフィルタリング型のファイアーウォールです。

http://sayacafe.sub.jp/sec/pic/FW_packetfiltering.jpg
http://sayacafe.sub.jp/sec/no005.php

https://www.cyber-attack.net/wp-content/uploads/2017/04/firewall-02-1024x650.png
https://www.cyber-attack.net/cyber-security-dictionary/CyberAttack370.html

filterテーブルに設定します。

https://lh4.googleusercontent.com/-p50UgNwKQq0/UrU5rQWxKbI/AAAAAAAAMoE/QtdtQAlYwec/s800/Pict1976.jpg
https://lh3.googleusercontent.com/-62nsj3n6eio/UrUyo_hWQhI/AAAAAAAAMns/JeYOsQodmhI/s800/Pict1975.jpg
iptables : filter テーブル / CentOS 6.5 (64-bit): “HP ML115 G5”と自作機で、できたこと

https://wiki.bit-hive.com/tomizoo/upload/34/69707461626c6573.png
iptablesによるフィルタ設定 - とみぞーノート

設定ファイルでは「* filter」に書きます。

*filter
ここに設定を書く
COMMIT

iptablesは、ポートフォワードとして使用するパケット転送機能もあります。

natテーブルに設定します。

ponsuke-tarou.hatenablog.com

設定ファイルでは「*nat」に書きます。

*nat
ここに設定を書く
COMMIT