48.9.3.3. iptables パラメーターオプション
特定のチェーン内でルールの追加、追加、削除、挿入、または置換に使用されるものを含め、特定の iptables コマンドには、パケットフィルターリングルールを構築するためにさまざまなパラメーターが必要です。
-c- 特定のルールのカウンターを設定します。このパラメーターは、PKTSオプションおよびBYTESオプションを受け入れて、リセットするカウンターを指定します。-d: ルールに一致するパケットの宛先ホスト名、IP アドレス、またはネットワークを設定します。ネットワークに一致する場合、以下の IP アドレス/ネットマスクの形式がサポートされます。N.N.N.N/ M.M.M: N.N.N.N は IP アドレス範囲で、M. M.M.M はネットマスクです。N.N.N.N/M - N.N.N は IP アドレス範囲で、M はビットマスクです。
-f- このルールが断片化されたパケットのみに適用されます。このパラメーターの後に感嘆符(!)オプションを使用して、断片化されていないパケットのみが一致するように指定できます。注記断片化されたパケットが IP プロトコルの標準的な部分であるにもかかわらず、断片化されたパケットと断片化されていないパケットを区別することが望ましいです。当初は、IP パケットが異なるフレームサイズを持つネットワークで通過できるように設計されました。これらの日数の断片化は、マル形式のパケットを使用して DoS 攻撃を生成するためにより一般的に使用されます。また、IPv6 では断片化を完全に許可しない点にも留意してください。-i-eth0やppp0などの受信ネットワークインターフェイスを設定します。iptables では、これはfilterテーブルと PREROUTING チェーンとnatテーブルおよびmangleテーブルと使用すると、INI および FORWARD チェーンでのみ使用できます。このパラメーターは、以下の特別なオプションもサポートします。- 感嘆符文字(
!)- ディレクティブを逆にすると、指定したインターフェイスはこのルールから除外されます。 - プラス文字(
+)- 指定の文字列に一致するすべてのインターフェイスに一致するために使用されるワイルドカード文字。たとえば、パラメーター-i eth+は、このルールを任意のイーサネットインターフェイスに適用しますが、ppp0などの他のインターフェイスを除外します。
-iパラメーターが使用されていてもインターフェイスが指定されていない場合は、すべてのインターフェイスがルールに影響されます。-j- パケットが特定のルールに一致する場合に、指定したターゲットにジャンプします。標準のターゲットはACCEPT、DROP、QUEUE、およびRETURNです。拡張オプションは、Red Hat Enterprise Linux iptables RPM パッケージでデフォルトでロードされているモジュールからも利用できます。これらのモジュールの有効なターゲットには、LOG、MARK、およびREJECTが含まれます。これらのターゲットおよびその他のターゲットの詳細は、iptables の man ページを参照してください。このオプションを使用して、特定のルールに一致するパケットを現在のチェーン外のユーザー定義のチェーンに転送し、他のルールをパケットに適用することもできます。ターゲットが指定されていない場合、パケットはアクションを実行せずにルールに移動します。ただし、このルールのカウンターは 1 つずつ増えます。-o- ルールの送信ネットワークインターフェイスを設定します。このオプションは、filterテーブルの OUTPUT および FORWARD チェーンにのみ有効です。また、natテーブルおよびmangleテーブルの POSTROUTING チェーンにのみ有効です。このパラメーターは、受信ネットワークインターフェイスパラメーター(-i)と同じオプションを受け入れます。-p <protocol>: ルールの影響を受ける IP プロトコルを設定します。これは、icmp、tcp、udp、またはallのいずれか、またはこれらのプロトコルの 1 つを表す数値にすることもできます。/etc/protocolsファイルに記載されているプロトコルを使用することもできます。"all" プロトコルは、ルールがサポートされるすべてのプロトコルに適用されることを意味します。このルールにプロトコルが一覧にない場合は、デフォルトで "all" に設定されます。-s: 宛先(-d)パラメーターと同じ構文を使用して、特定のパケットのソースを設定します。
