IPTables 基本ガイド

IPTables（アイ・ピー・テーブルズ）は、Linuxシステムにおける強力なパケットフィルタリングツールです。ネットワークトラフィックの監視、制御、及び保護を行うための手段として広く利用されています。特に、インターネットやローカルネットワークのセキュリティを強化するための重要なツールとして機能します。この記事では、IPTablesの基本的な概念、よく使用されるコマンド、ルールの設定方法について詳細に解説します。

IPTablesとは

IPTablesは、Linuxカーネルのネットワークパケットフィルタリング機能を操作するためのツールです。これを使用することで、送受信されるネットワークパケットを監視し、特定の条件に基づいて許可または拒否するルールを設定できます。基本的な構造として、以下の三つの主要なテーブルを使用します。

• filterテーブル: パケットのフィルタリングを行います。デフォルトで使用されるテーブルで、最も一般的な操作を実行します。
• natテーブル: ネットワークアドレス変換を行います。例えば、ポートフォワーディングやIPマスカレードに使用されます。
• mangleテーブル: パケットの変更や修正を行うためのテーブルです。

基本的な用語

IPTablesを理解するために、いくつかの基本的な用語を把握しておくことが重要です。

• チェーン（Chain）: ルールを順番に適用するためのリストです。主に以下の3つのチェーンがあります。
  • INPUTチェーン: 入力パケットに対して適用されます。
  • OUTPUTチェーン: 出力パケットに対して適用されます。
  • FORWARDチェーン: 他のネットワークに転送されるパケットに適用されます。
• ルール（Rule）: チェーン内に追加される、パケットを許可または拒否する条件です。
• ターゲット（Target）: ルールによって適用されるアクションです。例えば、ACCEPT（許可）、DROP（拒否）、REJECT（拒絶）などがあります。

よく使われるIPTablesコマンド

IPTablesを使うには、基本的なコマンドを知っておく必要があります。以下は最も一般的なコマンドです。

1. ルールの確認

現在のIPTablesのルールを確認するには、以下のコマンドを使用します。

bash
CopyEdit
sudo iptables -L

これにより、現在のフィルターチェーンに設定されているすべてのルールが表示されます。-Lオプションは、”list”の略で、ルールリストを表示するものです。

2. ルールの追加

新しいルールを追加するには、以下のコマンドを使用します。

bash
CopyEdit
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

このコマンドは、INPUTチェーンに、TCPプロトコルの80番ポート（HTTP）への接続を許可するルールを追加します。-Aは「追加」を意味し、-j ACCEPTは許可するアクションを指定しています。

3. ルールの削除

特定のルールを削除するには、以下のコマンドを使用します。

bash
CopyEdit
sudo iptables -D INPUT -p tcp --dport 80 -j ACCEPT

-Dオプションは、指定したルールを削除するためのコマンドです。この場合、ポート80へのアクセスを許可するルールを削除します。

4. ルールの保存

設定したルールを永続的に保存するためには、以下のコマンドを使用します。

bash
CopyEdit
sudo service iptables save

これにより、IPTablesの設定が/etc/sysconfig/iptablesに保存され、再起動後も設定が維持されます。

5. ルールのフラッシュ

すべてのルールを削除して、IPTablesの設定をリセットするには、以下のコマンドを使用します。

bash
CopyEdit
sudo iptables -F

-Fオプションは「フラッシュ」を意味し、すべてのルールを削除します。

よく使われるIPTablesのルール

IPTablesの設定でよく使用されるルールをいくつか紹介します。

1. 特定のIPアドレスをブロックする

特定のIPアドレスからの接続を拒否するには、以下のルールを使用します。

bash
CopyEdit
sudo iptables -A INPUT -s 192.168.1.100 -j DROP

このコマンドは、192.168.1.100からのすべての入力パケットを拒否します。

2. 全ての受信トラフィックを拒否する

全ての受信トラフィックを拒否するには、以下のルールを使用します。

bash
CopyEdit
sudo iptables -A INPUT -j DROP

このルールは、すべての受信パケットを拒否します。セキュリティを強化するために最初に設定することがあります。

3. 特定のポートを開放する

特定のサービス（例えばHTTP）用にポート80を開放するには、以下のようなルールを使用します。

bash
CopyEdit
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

このルールは、TCPプロトコルのポート80（HTTP）への接続を許可します。

4. ICMP（Ping）をブロックする

Ping（ICMP）パケットをブロックするには、以下のコマンドを使用します。

bash
CopyEdit
sudo iptables -A INPUT -p icmp -j DROP

これにより、ICMPプロトコルを使用したパケットが拒否され、Pingテストができなくなります。

5. SSHアクセスを制限する

SSH（ポート22）へのアクセスを特定のIPアドレスに制限するには、以下のコマンドを使用します。

bash
CopyEdit
sudo iptables -A INPUT -p tcp -s 192.168.1.200 --dport 22 -j ACCEPT

このルールは、192.168.1.200からのSSH接続のみを許可します。

IPTablesの高度な設定

1. ログの記録

IPTablesは、特定のパケットが通過した際にログを記録することができます。ログを記録するためには、以下のように設定します。

bash
CopyEdit
sudo iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: "

このコマンドは、拒否されたパケットを/var/log/messagesに記録します。

2. 状態に基づくフィルタリング

接続の状態を基にしてパケットを制御することができます。例えば、以下のコマンドで、既に確立された接続に関してはパケットを許可することができます。

bash
CopyEdit
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

このルールは、既に確立された接続（ESTABLISHED）および関連する接続（RELATED）に対してパケットを許可します。

IPTablesのバックアップと復元

設定したIPTablesルールをバックアップするには、以下のコマンドを使用します。

bash
CopyEdit
sudo iptables-save > /path/to/backupfile

復元するには、以下のコマンドを使用します。

bash
CopyEdit
sudo iptables-restore < /path/to/backupfile

結論

IPTablesは、Linuxシステムにおいて強力なセキュリティツールであり、ネットワークトラフィックの制御において非常に重要な役割を果たします。基本的なコマンドとルールの理解を深めることで、システムのセキュリティを大幅に強化することができます。システムのセキュリティポリシーに応じて、柔軟に設定を変更し、最適なネットワーク環境を構築することが可能です。