基本的なことで大変申し訳ないのですが、Linuxのiptablesを設定する際のRH-Firewall-1-INPUTとはなんでしょうか?似たような意味(?)の
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
に関してはググるとすぐに明解に意味が書かれているサイトをいくつか発見出来るのですが、iptablesの書き方の例によく記載されているRH-Firewall-1-INPUTのみ、なぜか明確に意味が書かれているサイトを見つけられませんでした。
RH-Firewall-1-INPUTは、一体どのような意味を持ったものなのでしょうか?
No.1ベストアンサー
- 回答日時:
INPUT
OUTPUT
FORWARD
などは、ご存じのとおりiptablesのチェーン名として意味のある単語ですが、
「RH-Firewall-1-INPUT」は、適当につけたラベル名です。
この文字列はどんなものに変更しても大丈夫です。
たとえば
「MY-FIREWALL-SETTINGS」
なんかでも大丈夫です。
ではなぜラベル名なんかを定義しているかというと、
一般的にはINPUTチェーンとFORWARDチェーンには、
設定として全く同じものを定義します。
たとえば、HTTPを許可する場合は、
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A FORWARD -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
というように2つ分記述する必要があります。
ただ、これですと、INPUT側を変更したら、FORWARD側も変更しないといけなくなってしまい、ミスを誘発しやすくなってしまいます。
そこで、適当な名前で作った別のチェーンを作成しておいて、INPUTもFORWARDも、どちらもその新しいチェーンへ無条件に飛ばしてしまい、本当のルールは新しく作ったチェーン(この場合、RH-Firewall-1-INPUT)内でやれば、ルールの記述は1回で済みますね。
/etc/sysconfig/iptables を見てみるとこんな記述があると思います。
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
上記の記述を上から順に訳していきますと、
INPUTチェーンの定義
FORWARDチェーンの定義
OUTPUTチェーンの定義
RH-Firewall-1-INPUTチェーンの定義
INPUTチェーンに来たものはすべて無条件にRH-Firewall-1-INPUTチェーンへ転送する
FORWARDチェーンに来たものはすべて無条件にRH-Firewall-1-INPUTチェーンへ転送する
となります。
つまり、これでINPUTとFORWARDがRH-Firewall-1-INPUTチェーンで束ねられたことになります。
さらに/etc/sysconfig/iptables を見ていくと、以下のようになっていると思います。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
これは、RH-Firewall-1-INPUTチェーン内のルール設定で、
外部からの80番と8080番ポートへのアクセスを許可するように設定しています。
そして最後の行の
「-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited」
によって、RH-Firewall-1-INPUT チェーン内のどのルールにもマッチしなかったパケットは、
icmp-host-prohibitedエラーを返すように設定しています。
つまり上記の場合、80番でも8080番でもない宛先ポートのパケットは全部エラーになるということになります。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
このQ&Aを見た人はこんなQ&Aも見ています
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・「I love you」 をかっこよく翻訳してみてください
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・昔のあなたへのアドバイス
- ・かっこよく答えてください!!
- ・あなたが好きな本屋さんを教えてください
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
scpコマンドでサーバー間のファ...
-
UDPパケットのバッファサイズ変...
-
ファイアウォールは必要?hosts...
-
SAMBAの設定に付いて
-
ローカル環境でwebサーバーにつ...
-
同一のホスト名で何か問題があ...
-
パスワード設定していないユー...
-
Mailの送信済みメールボックス...
-
”Tortoise SVN” と ”Subversio...
-
同じ独自ドメインを2つのサーバ...
-
リモートデスクトップ接続でパ...
-
エクセルで#N/Aを含めた平均値...
-
DNSサーバを設定したのですがns...
-
「DNSサーバーを自動的に取得す...
-
エラーメールで"too many hops"...
-
コマンドでのFTP転送が進まない。
-
【DNS】ゾーン情報が上手く設定...
-
iPadの受信メールが消える
-
LinuxからWindowsのbatファイル...
-
【FTP】ファイル一覧の取得を中...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ファイアウォールは必要?hosts...
-
RH-Firewall-1-INPUTとは?
-
iptablesにてRDPが通らない。
-
iptablesを使って、複数のサブ...
-
portmapについて
-
iptablesによるルーティング
-
iptablesを設定するとメール送...
-
iptablesでNATログを取りたい。
-
iptablesでFTPのパッシブモード...
-
UDPパケットのバッファサイズ変...
-
iptablesの書き方
-
Linuxである特定のIPアドレス...
-
DMZのLinuxサーバでメールとFTP...
-
サーバーでポート587番が開放で...
-
Linux環境で、UDP514ポートが開...
-
linuxのルーティング処理
-
ファイアウォールとしてping of...
-
Linuxサーバに社内からSSH接続...
-
SAMBAの設定に付いて
-
iptablesの設定について
おすすめ情報