2.8.9.2.5. ターゲットオプション
パケットが特定のルールにマッチする場合、ルールはパケットを複数の異なるターゲットに転送し、適切なアクションを決定することができます。各チェーンにはデフォルトのターゲットがあります。これは、そのチェーン上のルールがパケットにマッチする場合や、パケットに一致するルールがターゲットを指定するルールがない場合に使用されます。
以下は標準ターゲットになります。
<user-defined-chain>
: テーブル内のユーザー定義チェーン。ユーザー定義チェーン名は一意でなければなりません。このターゲットは、パケットを指定チェーンに渡します。ACCEPT
: 宛先または別のチェーンへのパケットを許可します。DROP
: リクエスターに応答せずにパケットをドロップします。パケットを送信したシステムは、失敗について通知されません。QUEUE
: パケットは、ユーザー空間アプリケーションによって処理するためにキューに置かれます。RETURN
: 現在のチェーンのルールに対するパケットの確認を停止します。RETURN
ターゲットのあるパケットが別のチェーンから呼び出されたチェーン内のルールと一致する場合、そのパケットは最初のチェーンに返され、停止先のルールを確認するようになります。RETURN
ルールが組み込みチェーンで使用され、パケットが以前のチェーンに移動できない場合は、現在のチェーンのデフォルトターゲットが使用されます。
さらに、他のターゲットを指定できるようにする拡張機能を使用できます。これらの拡張機能はターゲットモジュールまたは match オプションモジュールと呼ばれ、ほとんどの場合は特定のテーブルおよび状況にのみ適用されます。match オプションモジュール 「追加の一致オプションモジュール」 の詳細は、を参照してください。
多くの拡張ターゲットモジュールが存在し、そのほとんどは特定のテーブルまたは状況にのみ適用されます。Red Hat Enterprise Linux にデフォルトで含まれている最も一般的なターゲットモジュールには、以下のものがあります。
LOG
: このルールに一致するすべてのパケットをログに記録します。パケットはカーネルによりログ記録されるため、/etc/syslog.conf
ファイルはこれらのログエントリーが書き込まれる場所を決定します。デフォルトでは、これらは/var/log/messages
ファイルに配置されます。LOG
ターゲットの後に追加オプションを使用して、ロギングが実行される方法を指定できます。--log-level
: ロギングイベントの優先度を設定します。優先順位の一覧は、syslog.conf
man ページを参照してください。--log-ip-options
: IP パケットのヘッダーに設定されたオプションをログに記録します。--log-prefix
: 書き込み時にログ行の前に最大 29 文字の文字列を配置します。これは、syslog フィルターを作成してパケットロギングとともに使用する場合に便利です。注記このオプションの問題により、log-prefix の値に末尾のスペースを追加する必要があります。--log-tcp-options
: TCP パケットのヘッダーに設定されたオプションをログに記録します。--log-tcp-sequence
: ログ内のパケットの TCP シーケンス番号を書き込みます。
REJECT
: エラーパケットをリモートシステムに戻し、パケットを破棄します。REJECT
ターゲットの受け入れ( <type>--reject-with <type>
は rejection タイプ)により、エラーパケットで詳細情報が返されます。その他のオプションport-unreachable
が使用されていない場合、メッセージはデフォルトのエラータイプです。<type>
オプションの全一覧は、iptables man ページを参照してください。
テーブルを使用した IP マスカレードや、
nat
テーブルを使用したパケットの変更に役立つ他のターゲット拡張機能は mangle
、iptables man ページを参照してください。