Linuxファイアウォール

モジュール紹介

このモジュールを使用すると、2.4シリーズのLinuxカーネルにあるIPtablesファイアウォール機能を設定できます。他のファイアウォール設定プログラムとは異なり、ファイアウォールを設定するシェルスクリプトを作成する代わりに、 それぞれipi(6)tables-restoreおよびipi(6)tables-saveによって読み書きされる形式で保存ファイルを読み取り、編集します。

システムにファイアウォールが手動またはスクリプトファイルからすでに設定されている場合は、モジュールによってファイアウォールがIPtables保存ファイルに変換され、起動時に実行されるスクリプトを作成して、ファイル。ただし、これを行う場合は、ファイアウォールルールスクリプトを編集しないでください。また、起動時にスクリプトが実行されないようにする必要があります。

IPtablesの概要

システムに入ってくる、出て行く、またはシステムによって転送されるすべてのネットワークパケットは、1つまたは複数のチェーンに対してチェックされ、何が起こるかが決定されます。各チェーンには0個以上のルールが含まれ、各ルールには条件(一致するパケットを判別するため)とアクション(一致するパケットの処理を制御するため)があります。各チェーンには、どのルールにも一致しないパケットの処理を制御するデフォルトのアクションもあります。

各チェーンはテーブルの一部であり、現在3つあります。

各テーブルの一部である標準のチェーンに加えて、組み込みチェーンのルールによって実行できる独自のチェーンを作成することもできます。これは、複数の場所で使用される可能性のあるルールのグループ化と共有に役立ちます。

メインページ

このモジュールのメインページには、左上にあるリストから選択された使用可能なテーブルの1つからのすべてのチェーンとルールが一覧表示されます。以下は、現在の表の各チェーンのセクションです。各チェーンのすべてのルールがリストされ、それらの条件はモジュールの能力を最大限に発揮して記述されています。各チェーンについて、チェーンがテーブルの組み込みのものである場合はドロップダウンリストを使用してデフォルトのアクションを変更でき、ユーザー定義の場合は[チェーンの削除]ボタンで削除できます。

チェーン内のルールをクリックして編集したり、各行の右側にある矢印をクリックしてルールを上下に移動したり、[ルールの追加]ボタンをクリックして新しいルールを追加したりできます。ルールを追加または編集すると、各ルールのアクションと、アクションが実行される条件を選択できるページが表示されます。

ページの下部には、 ipi(6)tables-restoreコマンドを使用して現在のファイアウォール構成をカーネルにロードすることにより、現在のファイアウォール構成をアクティブにするためのボタンがあります。その下には、逆の操作を行うためのボタンがあります。現在カーネル内にある構成を取得し、編集できるようにします。最後に、ディストリビューションがサポートしている場合は、起動時にファイアウォールをアクティブにするかどうかを変更するボタンがあります。

フィルタリングチェーン

外部iptablesスクリプトとのより良いコラボレーションのために、ファイアウォールによる処理から個々のチェーンを除外できます。これを行うには、設定でルールの直接処理を選択し、適切なチェーンを処理から除外するフィルターリストを入力する必要があります。編集から除外されていないチェーンには、「ファイアウォールで管理されていません」というメッセージが表示されます。

IPセット

新しいバージョンのip(6)tableは、ipset拡張をサポートしています。 IPセットは、メインメモリ内のIPアドレスのリストであり、非常に効率的に検索して、ルールの条件として使用できます。メインページには、ルールで使用できる既存のIPセットが表示されます。ただし、現時点では、ファイアウォールでこれらを管理することはできません。