Red Hat Summit5.13. iptablesを使用した IP セットの設定および制御
firewalld サービスと iptables (および ip6tables)サービスの基本的な相違点は次のとおりです。
- iptables サービス は設定を
/etc/sysconfig/iptablesおよび/etc/sysconfig/ip6tablesに保存しますが、firewalldは設定を/usr/lib/firewalld/および/etc/firewalld/のさまざまな XML ファイルに保存します。デフォルトでは Red Hat Enterprise Linux にfirewalldがインストールされているため、/etc/sysconfig/iptablesファイルが存在しないことに注意してください。 - iptables サービス では、すべての変更がすべての古いルールをフラッシュし、
/etc/sysconfig/iptablesからすべての新しいルールを読み取ることを意味しますが、firewalldではすべてのルールを再作成することはありません。違いのみが適用されます。その結果、firewalldは、既存の接続を失うことなく、ランタイム時に設定を変更できます。
いずれも iptables ツール を使用してカーネルパケットフィルターと通信します。
firewalld の代わりに iptables サービスおよび ip6tables サービスを使用するには、最初に root で以下のコマンドを実行して firewalld を無効にします。
systemctl disable firewalld systemctl stop firewalld
~]# systemctl disable firewalld
~]# systemctl stop firewalld
次に、
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
iptables-services パッケージには、
root で以下のコマンドを入力して、iptables-services パッケージをインストールします。
yum install iptables-services
~]# yum install iptables-servicesiptables サービスと ip6tables サービスが含まれます。
次に、
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
システムが起動するたびにサービスを開始できるようにするには、次のコマンドを入力します。
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
iptables サービスおよび ip6tables サービスを起動するには、root で以下のコマンドを入力します。
systemctl start iptables systemctl start ip6tables
~]# systemctl start iptables
~]# systemctl start ip6tablessystemctl enable iptables systemctl enable ip6tables
~]# systemctl enable iptables
~]# systemctl enable ip6tables
ipset ユーティリティーは、Linux カーネルで IP セット を管理するために使用されます。IP セットは、IP アドレス、ポート番号、IP と MAC アドレスのペア、または IP アドレスとポート番号のペアを格納するためのフレームワークです。セットは、セットが非常に大きい場合でも、セットに対して非常に高速なマッチングを行うことができるようにインデックスが付けられます。IP セットは、よりシンプルで管理しやすい設定を可能にし、iptables を使用する際のパフォーマンス上の利点を提供します。iptables が一致し、セットを参照するターゲットは、カーネル内の指定されたセットを保護する参照を作成します。セットを指す参照が 1 つある間は、セットを破棄することはできません。
ipset を使用すると、以下のような iptables コマンドをセットに置き換えることができます。
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
セットは、以下のように作成されます。
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
次に、セットは以下のように iptables コマンドで参照されます。
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
セットを複数回使用すると、設定時間が節約されます。セットに多くのエントリーが含まれている場合、処理時間を短縮することができます。
iptables -A INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -s 172.16.0.0/12 -j DROP iptables -A INPUT -s 192.168.0.0/16 -j DROP
~]# iptables -A INPUT -s 10.0.0.0/8 -j DROP
~]# iptables -A INPUT -s 172.16.0.0/12 -j DROP
~]# iptables -A INPUT -s 192.168.0.0/16 -j DROPipset create my-block-set hash:net ipset add my-block-set 10.0.0.0/8 ipset add my-block-set 172.16.0.0/12 ipset add my-block-set 192.168.0.0/16
~]# ipset create my-block-set hash:net
~]# ipset add my-block-set 10.0.0.0/8
~]# ipset add my-block-set 172.16.0.0/12
~]# ipset add my-block-set 192.168.0.0/16iptables -A INPUT -m set --set my-block-set src -j DROP
~]# iptables -A INPUT -m set --set my-block-set src -j DROP
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}