18.7. iptables および接続の追跡
接続 状態に基づいてサービスへの接続を検査したり、制限したりすることができます。iptables 内のモジュールは、接続 追跡 と呼ばれる方法を使用して、受信接続に関する情報を保存します。以下の接続状態に基づいて、アクセスを許可または拒否できます。
NEW
: HTTP 要求などの新しい接続を要求するパケット。ESTABLISHED
: 既存の接続の一部であるパケット。RELATED
: 新しい接続を要求するパケットは、既存の接続の一部です。たとえば、FTP はポート 21 を使用して接続を確立しますが、データは別のポート(通常はポート 20)に転送されます。INVALID
: コネクション追跡テーブルの接続の一部ではないパケット。
プロトコル自体がステートレスである場合でも、iptables 接続追跡のステートフル機能を使用できます(UDP など)。以下の例は、接続追跡を使用して、確立された接続に関連するパケットのみを転送するルールを示しています。
[root@myServer ~ ] # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT