48.8.7. iptables および接続トラッキング
接続の 状態に基づいて、サービスへの接続を検査および制限できます。iptables 内のモジュールは、接続 追跡 と呼ばれるメソッドを使用して受信接続に関する情報を保存します。以下の接続状態に基づいてアクセスを許可または拒否できます。
NEW- HTTP リクエストなどの新しい接続を要求するパケット。ESTABLISHED: 既存の接続の一部であるパケットです。RELATED: 新しい接続を要求しているが、既存の接続の一部であるパケットです。たとえば、FTP はポート 21 を使用して接続を確立しますが、データは別のポート(通常はポート 20)で転送されます。INVALID: コネクション追跡テーブルの接続の一部ではないパケット。
プロトコル自体がステートレス(UDP など)の場合でも、iptables 接続追跡のステートフル機能をネットワークプロトコルで使用できます。以下の例は、接続追跡を使用して、確立された接続に関連付けられたパケットのみを転送するルールを示しています。
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT