18.3.2. 基本的なファイアウォールポリシー
基本的なファイアウォールポリシーを確立することで、より詳細にわたるユーザー定義ルールを構築する基盤が作成されます。
各 iptables チェーンはデフォルトポリシーと、ファイアウォールの全体的なルールセットを定義するデフォルトポリシーと組み合わせるゼロ以上のルールで構成されています。
チェーンのデフォルトポリシーは DROP または ACCEPT のいずれかになります。セキュリティーが付与された管理者は、通常 DROP のデフォルトポリシーを実装し、ケースごとに特定のパケットのみを許可します。たとえば、以下のポリシーは、ネットワークゲートウェイの着信パケットおよび送信パケットをすべてブロックします。
[root@myServer ~ ] # iptables -P INPUT DROP [root@myServer ~ ] # iptables -P OUTPUT DROP
また、転送されたパケット (ファイアウォールから宛先ノードへルーティングされるネットワークトラフィック)も拒否され、内部クライアントがインターネットへの誤った公開を制限することが推奨されます。これを行うには、以下のルールを使用します。
[root@myServer ~ ] # iptables -P FORWARD DROP
各チェーンにデフォルトのポリシーを確立したら、特定のネットワークおよびセキュリティー要件に関する追加のルールを作成して保存することができます。
以下のセクションでは、iptables ルールを保存する方法と、iptables ファイアウォールを構築するのに役立つルールの一部を説明します。