iptables -t (テーブル名) -A (チェーン名) -p (プロトコル型) --dport (ポート番号) -s (送信元アドレス) -j (アクション)
iptables -t (テーブル名) -A (チェーン名) -p (プロトコル型) --dport (ポート番号) -s (送信元アドレス) -j (アクション)
iptables -D (チェーン名) (番号)
iptables -t(テーブル名) -L (チェーン名) --line-numbers
iptables -t(テーブル名) -L (チェーン名) (NUM) (ルールとかアクションとか)
/etc/rc.d/init.d/iptables save
iptables -A INPUT -j ACCEPT -p tcp --dport 22 \ -m state --state ESTABLISHED,RELATED iptables -A INPUT -j ACCEPT -p tcp --dport 22 \ -m limit --limit 3/minute --limit-burst 5 \ iptables -A INPUT -j DROP -p tcp --dport 22
((( THE INTERNET )))----[PROVIDER]----((( 地域IP網 )))----+ | | +-----+------+-----------------[ SERVER ]------+ | | | eth1:192.168.1.1↑ ↑eth0:192.0.2.1 [PC1] [PC2] [PC...] ここで SERVER を介して PC1, PC2, PC... などをインターネットにつなぎたい
FORWARD_IPV4=yes
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
↓172.16.0.2 +-------+ +-------+ internet <---+ svr-A +---+ svr-B + +-------+ +-------+ 192.0.2.1↑ ↑172.16.0.1
iptables -A PREROUTING -t nat -d 192.0.2.1 -p tcp --dport 8080 \ -j DNAT --to 172.16.0.2:80
iptables -A POSTROUTING -t nat -d 192.0.2.1 -p tcp --sport 8080 \ -j SNAT --to 172.16.0.2:80
192.0.2.1↓ ↓172.16.0.254 +--------+ internet <---+---+ router +---+ | +--------+ | | | ↓172.16.0.2 | +-------+ | +-------+ +---+ svr-A +----+--+ svr-B + +-------+ +-------+ 192.0.2.2↑ ↑172.16.0.1
iptables -t nat -A PREROUTING -d 192.0.2.3 -p tcp --dport 80 \ -j DNAT --to 172.16.0.2
DEVICE=eth0:0 ONBOOT=yes BOOTPROTO=static IPADDR=192.0.2.3 NETMASK=255.255.255.0 NETWORK=192.0.2.0 BROADCAST=192.0.2.255
iptables -t nat -A POSTROUTING -j SNAT -s 172.16.0.2 -o eth0 --to 192.0.2.3
daemon | protocol | port | notes |
ICMP | icmp | - | --icmp-type 0, --icmp-type 8 |
FTP | tcp | 20:21 | n:mでn〜mを指定することが可能らしい |
SSH | tcp | 22 | |
telnet | tcp | 23 | |
DNS | udp | 53 | |
bootps (DHCP server) | udp | 67 | |
bootpc (DHCP client) | udp | 68 | |
tftp | UDP | 69 | |
http | tcp | 80 | |
https | tcp | 443 | |
smtp | tcp | 25, 587 | 587はsubmission port(OB25P対策) |
pop3 | tcp | 110 | |
imap | tcp | 143 | |
smtps | tcp | 465 | |
POP3S | tcp | 995 | |
IMAPS | tcp | 993 | |
ident | tcp | 113 | DROPすると応答が遅くなることがあるのでREJECT推奨 |
NTP | udp | 123 | |
SNMP | - | 161(tcp), 161(udp) | |
SNMP trap | udp | 162 | |
SMB(Windowsファイル共有) | - | 137(tcp/udp), 138(udp), 139(tcp)(NetBIOSサービス) 445(tcp/udp)(ダイレクト・ホスティングSMBサービス) | |
MS-RPC | tcp | 135, 445 | 445/tcpはSMBと共用 |
SWAT(Samba) | tcp | 901 | |
iSCSI | TCP | 860 | |
rsync | TCP/UDP | 873 | |
MySQL | tcp | 3306 | |
PostgreSQL | tcp | 5432 | |
Webmin | tcp | 10000 | Turbolinuxでは20000 |
Mediatomb | - | 1900(udp), 50500(udp) | |
apcupsd | tcp | 3551 | |
NFS | - | portmapper 111(tcp,udp), status 662(tcp,udp), rquotad 875(tcp,udp), mountd 982(tcp,udp), nfs 2049(tcp,udp), nlockmgr 32803(tcp) 32769(udp) | NFSのポート番号固定が必要 |