2.8.9.2.5. ターゲットオプション
パケットが特定のルールにマッチする場合、ルールはパケットを複数の異なるターゲットに転送し、適切なアクションを決定することができます。各チェーンにはデフォルトのターゲットがあります。これは、そのチェーン上のルールがパケットにマッチする場合や、パケットに一致するルールがターゲットを指定するルールがない場合に使用されます。
以下は標準ターゲットになります。
<user-defined-chain>: テーブル内のユーザー定義チェーン。ユーザー定義チェーン名は一意でなければなりません。このターゲットは、パケットを指定チェーンに渡します。ACCEPT: 宛先または別のチェーンへのパケットを許可します。DROP: リクエスターに応答せずにパケットをドロップします。パケットを送信したシステムは、失敗について通知されません。QUEUE: パケットは、ユーザー空間アプリケーションによって処理するためにキューに置かれます。RETURN: 現在のチェーンのルールに対するパケットの確認を停止します。RETURNターゲットのあるパケットが別のチェーンから呼び出されたチェーン内のルールと一致する場合、そのパケットは最初のチェーンに返され、停止先のルールを確認するようになります。RETURNルールが組み込みチェーンで使用され、パケットが以前のチェーンに移動できない場合は、現在のチェーンのデフォルトターゲットが使用されます。
さらに、他のターゲットを指定できるようにする拡張機能を使用できます。これらの拡張機能はターゲットモジュールまたは match オプションモジュールと呼ばれ、ほとんどの場合は特定のテーブルおよび状況にのみ適用されます。match オプションモジュール 「追加の一致オプションモジュール」 の詳細は、を参照してください。
多くの拡張ターゲットモジュールが存在し、そのほとんどは特定のテーブルまたは状況にのみ適用されます。Red Hat Enterprise Linux にデフォルトで含まれている最も一般的なターゲットモジュールには、以下のものがあります。
LOG: このルールに一致するすべてのパケットをログに記録します。パケットはカーネルによりログ記録されるため、/etc/syslog.confファイルはこれらのログエントリーが書き込まれる場所を決定します。デフォルトでは、これらは/var/log/messagesファイルに配置されます。LOGターゲットの後に追加オプションを使用して、ロギングが実行される方法を指定できます。--log-level: ロギングイベントの優先度を設定します。優先順位の一覧は、syslog.confman ページを参照してください。--log-ip-options: IP パケットのヘッダーに設定されたオプションをログに記録します。--log-prefix: 書き込み時にログ行の前に最大 29 文字の文字列を配置します。これは、syslog フィルターを作成してパケットロギングとともに使用する場合に便利です。注記このオプションの問題により、log-prefix の値に末尾のスペースを追加する必要があります。--log-tcp-options: TCP パケットのヘッダーに設定されたオプションをログに記録します。--log-tcp-sequence: ログ内のパケットの TCP シーケンス番号を書き込みます。
REJECT: エラーパケットをリモートシステムに戻し、パケットを破棄します。REJECTターゲットの受け入れ( <type>--reject-with <type>は rejection タイプ)により、エラーパケットで詳細情報が返されます。その他のオプションport-unreachableが使用されていない場合、メッセージはデフォルトのエラータイプです。<type>オプションの全一覧は、iptables man ページを参照してください。
テーブルを使用した IP マスカレードや、
nat テーブルを使用したパケットの変更に役立つ他のターゲット拡張機能は mangle、iptables man ページを参照してください。
