2.8.9.2.3. iptables パラメーターオプション
特定のチェーン内でルールを追加、追加、削除、挿入、または置き換えるのに使用する iptables コマンドなど、パケットフィルタリングルールを構成するためにさまざまなパラメーターが必要になります。
-c: 特定のルールのカウンターをリセットします。このパラメーターはPKTS、とBYTESオプションを指定して、リセットするカウンターを指定します。-d: ルールに一致するパケットの宛先ホスト名、IP アドレス、またはネットワークを設定します。ネットワークを照合する場合、以下の IP アドレス/ネットマスク形式がサポートされます。N.N.N.N/M.M.M.M: N.N.N.N は IP アドレス範囲で、M.M.M.M はネットマスクです。N.N.N.N/M: N.N.N.N は IP アドレス範囲で、M はビットマスクです。
-f: このルールを適用するのは、断片化されたパケットにのみ適用されます。このパラメーターの前に感嘆符文字(!)オプションを使用して、アンフラグされたパケットのみが一致するように指定できます。注記フラグメント化されたパケットとフラグメントされていないパケットを区別することは可能ですが、断片化されたパケットは IP プロトコルの標準部分となります。当初、IP パケットが異なるフレームサイズを持つネットワークを通過できるように設計されており、この日付の断片化は、不適切なパケットを使用して DoS 攻撃を生成するのに一般的に使用されます。また、IPv6 は断片化を完全に拒否することを認識してください。-i: は、eth0やなどの受信ネットワークインターフェースを設定しppp0ます。では iptables、このオプションのパラメーターを、テーブルとおよびfilterテーブルを持つ PREROUTING チェーンと使用する場合のみ INPUT チェーンおよび FORWARD チェーンnatと併用できmangleます。このパラメーターは、以下の特別なオプションもサポートします。- exclamation point(
!): ディレクティブを逆にします。つまり、指定されたインターフェースがこのルールから除外されます。 - プラス文字(
+)- 指定した文字列に一致するすべてのインターフェースを照合するために使用されるワイルドカード文字。たとえば、パラメーター-i eth+は、このルールをイーサネットインターフェースに適用しますが、等の他のインターフェースは除外しppp0ます。
-iパラメーターが使用されていてもインターフェースが指定されていない場合、すべてのインターフェースがルールの影響を受けます。-j: パケットが特定のルールにマッチすると、指定したターゲットに移動します。標準ターゲットはACCEPT、、DROPQUEUE、およびですRETURN。拡張オプションは、Red Hat Enterprise Linux iptables RPM パッケージでデフォルトで読み込まれるモジュールでも利用できます。これらのモジュールの有効なターゲットにはLOGMARK、、REJECT、が含まれます。これらおよびその他のターゲットの詳細は、iptables man ページを参照してください。このオプションを使用して、パケットに一致するパケットを現在のチェーン外のユーザー定義チェーンに転送し、他のルールをパケットに適用することもできます。ターゲットを指定しないと、パケットはアクションを実行せずにルールを渡します。ただし、このルールのカウンターは 1 つ増えます。-o: ルールの発信ネットワークインターフェースを設定します。このオプションは、filterテーブルの OUTPUT チェーンおよび FORWARD チェーンと、natおよびmangleテーブルの POSTROUTING チェーンにのみ有効です。このパラメーターは、受信ネットワークインターフェースパラメーター(-i)と同じオプションを受け入れます。-p <protocol>: ルールの影響を受ける IP プロトコルを設定します。これはicmp、、tcpudp、またはのいずれかを使用するかall、またはこれらのいずれかまたは別のプロトコルを表す数値の値になります。/etc/protocolsファイルに記載されているプロトコルを使用することもできます。「all」プロトコルは、サポートされるすべてのプロトコルにルールが適用されることを意味します。このルールでプロトコルが一覧表示されていない場合、デフォルトはall"" に設定されます。-s: destination(-d)パラメーターと同じ構文を使用して、特定のパケットのソースを設定します。
