Linux サービスでファイアウォールを有効にする 2 つの方法

方法は2つあります:

1. サービス方法

ファイアウォールのステータスを確認します。

[root@centos6 ~]# サービスiptablesステータス

iptables: ファイアウォールが実行されていません。

ファイアウォールを有効にします。

[root@centos6 ~]# サービスiptablesの開始

ファイアウォールをオフにします。

[root@centos6 ~]# サービスiptablesを停止します

2. iptables方式

まず init.d ディレクトリに入ります。コマンドは次のようになります。

[root@centos6 ~]# cd /etc/init.d/

[root@centos6 init.d]#

それから

ファイアウォールのステータスを確認します。

[root@centos6 init.d]# /etc/init.d/iptables ステータス

ファイアウォールを一時的に無効にします:

[root@centos6 init.d]# /etc/init.d/iptables を停止します

iptablesを再起動します。

[root@centos6 init.d]# /etc/init.d/iptablesを再起動します

Linuxファイアウォールの基礎知識を見てみましょう

1. ファイアウォールの分類

（１）パケットフィルタリングファイアウォール

パケット フィルタリング技術は、ネットワーク層でデータ パケットを選択するものです。選択は、アクセス制御リスト (ACL) と呼ばれる、システムに設定されたフィルタリング ロジックに基づいて行われます。データ ストリーム内の各データ パケットの送信元アドレスと宛先アドレス、使用されているポート番号とプロトコルの状態、またはそれらの組み合わせをチェックすることにより、データ パケットの通過が許可されるかどうかが決定されます。
パケット フィルタリング ファイアウォールの利点は、ユーザーに対して透過的であり、処理が高速で、保守が容易なことです。欠点としては、不正アクセスがファイアウォールを突破すると、ホスト上のソフトウェアや構成の脆弱性が攻撃される可能性があること、データ パケットの送信元アドレス、宛先アドレス、IP ポート番号がすべてデータ パケットのヘッダー内にあるため、簡単に偽造できることなどが挙げられます。 「IP アドレスのスプーフィング」は、このタイプのファイアウォールに対してハッカーが使用する一般的な攻撃方法です。

(II) プロキシサービスファイアウォール

プロキシ サービスは、リンク レベル ゲートウェイまたは TCP チャネルとも呼ばれます。これは、パケット フィルタリングとアプリケーション ゲートウェイ テクノロジの欠点を解決するために導入されたファイアウォール テクノロジです。ファイアウォールを通過するすべてのネットワーク通信リンクを 2 つのセクションに分割する点が特徴です。プロキシ サーバーは、ユーザーからのサイトへのアクセス要求を受信すると、その要求が制御ルールに準拠しているかどうかを確認します。ルールによってユーザーがサイトにアクセスできるようになると、プロキシ サーバーはそのサイトにアクセスし、ユーザーに代わって必要な情報を取得してユーザーに転送します。内部および外部のネットワーク ユーザーによるアクセスは、プロキシ サーバー上の「リンク」を通じて行われるため、ファイアウォールの内側と外側のコンピュータ システムが分離されます。
さらに、プロキシ サービスは過去のデータ パケットを分析および登録し、レポートを生成します。攻撃の兆候が見つかった場合は、ネットワーク管理者に警告し、攻撃の記録を保存して、証拠収集とネットワーク メンテナンスに役立ちます。

2. ファイアウォールの仕組み

（I）パケットフィルタリングファイアウォールの動作原理

パケット フィルタリングは IP 層で実装されるため、ルーターのみを使用して実行できます。パケット フィルタリングは、パケットの送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびパケット伝送方向ヘッダー情報に基づいてパケットを通過させるかどうかを決定し、IP アドレスなどのユーザー定義コンテンツをフィルタリングします。仕組みとしては、システムがアプリケーション層とは独立して、ネットワーク層でパケットを検査します。パケット フィルターは、パケット フィルタリングの処理に使用される CPU 時間がごくわずかであるため、広く使用されています。さらに、この保護対策はユーザーにとって透過的です。正当なユーザーはネットワークに出入りする際にその存在を感じることはありませんので、非常に便利です。これにより、システムは優れた伝送性能を備え、拡張も容易になります。
ただし、このようなファイアウォールは、システムがアプリケーション層の情報を認識しないため、あまり安全ではありません。つまり、通信の内容を理解できず、ユーザー レベルでフィルタリングできないため、異なるユーザーを識別してアドレスの盗難を防ぐことができません。攻撃者が自分のホストの IP アドレスを正当なホストの IP アドレスに設定すると、パケット フィルターを簡単に通過できるため、ハッカーが侵入しやすくなります。この動作メカニズムに基づくと、パケット フィルタリング ファイアウォールには次の欠陥があります。
1. 通信情報: パケット フィルタリング ファイアウォールは、一部のデータ パケットのヘッダー情報にのみアクセスできます。
2. 通信およびアプリケーションのステータス情報: パケット フィルタリング ファイアウォールはステートレスであるため、通信およびアプリケーションのステータス情報を保存することはできません。
3. 情報処理: パケット フィルタリング ファイアウォールの情報処理能力には限界があります。

(II) プロキシサービスファイアウォールの動作原理

プロキシ サービス ファイアウォールは、アプリケーション層でファイアウォール機能を実装します。送信関連のステータスの一部を提供でき、アプリケーション関連のステータスと送信情報の一部を提供でき、また、情報を処理および管理することもできます。

3. iptablesを使用してパケットフィルタリングファイアウォールを実装する

(I) iptablesの概要と原理

カーネル 2.4 以降では、新しいカーネル パケット フィルタリング管理ツールである iptables が使用されています。このツールにより、ユーザーは動作原理を理解しやすくなり、使いやすくなり、機能が強化されました。

Iptables はカーネル パケット フィルタリングを管理するためのツールです。コア パケット フィルタリング テーブル (チェーン) にルールを追加、挿入、または削除できます。実際にこれらのフィルタリング ルールを実行するのは、netfilter (Linux カーネルの共通アーキテクチャ) とその関連モジュール (iptables モジュールや nat モジュールなど) です。
Netfilter は Linux カーネルの一般的なアーキテクチャです。一連の「テーブル」を提供し、各テーブルは複数の「チェーン」で構成され、各チェーンは 1 つ以上のルールで構成できます。 netfilter はテーブルのコンテナであり、テーブルはチェーンのコンテナであり、チェーンはルールのコンテナであることがわかります。
システムのデフォルト テーブルは「filter」で、INPUT、FORWARD、OUTPUT の 3 つのチェーンが含まれています。各チェーンには 1 つ以上のルールを含めることができ、各ルールは次のように定義されます: 「パケット ヘッダーがこの条件を満たす場合は、パケットをこのように処理します。」データ パケットがチェーンに到着すると、システムは最初のルールからチェックを開始し、ルールで定義された条件を満たしているかどうかを確認します。条件を満たしている場合、システムはルールで定義された方法に従ってデータ パケットを処理します。条件を満たしていない場合は、次のルールのチェックを続けます。最後に、データ パケットがチェーン内のどのルールにも満たしていない場合、システムはチェーンの事前定義されたポリシーに従ってデータ パケットを処理します。

(II) iptablesがデータパケットを送信するプロセス

データ パケットがシステムに入ると、システムはまずルーティング テーブルに基づいて、データ パケットをどのチェーンに送信するかを決定します。次の 3 つの状況が考えられます。

1. データ パケットの宛先アドレスがローカル マシンの場合、システムはデータ パケットを INPUT チェーンに送信します。ルール チェックに合格した場合、パケットは対応するローカル プロセスに送信されて処理されます。ルール チェックに合格しない場合、システムはパケットを破棄します。

2. データ パケットのアドレスがローカル マシンではない場合、パケットは転送され、システムはデータ パケットを FORWARD チェーンに送信します。ルール チェックに合格した場合、パケットは対応するローカル プロセスに送信されて処理されます。ルール チェックに合格しない場合、システムはパケットを破棄します。

3. データ パケットがローカル システム プロセスによって生成された場合、システムはそれを OUTPUT チェーンに送信します。ルール チェックに合格した場合、パケットは対応するローカル プロセスに送信されて処理されます。ルール チェックに合格しない場合、システムはパケットを破棄します。

ユーザーは各チェーンのルールを定義できます。データ パケットが各チェーンに到達すると、iptables はチェーンで定義されたルールに従ってパケットを処理します。 iptables は、パケットのヘッダー情報を、渡されるチェーン内の各ルールと比較し、各ルールに正確に一致するかどうかを確認します。パケットがルールに一致する場合、iptables はパケットに対してルールで指定されたアクションを実行します。たとえば、チェーン内のルールがパケットをドロップすることを決定した場合、パケットはそのチェーンでドロップされます。チェーン内のルールがパケットを受け入れる場合、パケットは前進し続けることができます。ただし、パケットがこのルールに一致しない場合は、チェーン内の次のルールと比較されます。パケットがチェーン内のどのルールにも一致しない場合、iptables はチェーンに事前定義されたデフォルト ポリシーに基づいてパケットの処理方法を決定します。理想的なデフォルト ポリシーは、iptables にパケットを破棄 (DROP) するように指示するはずです。

(III) iptablesの利点

netfilter/iptables の最大の利点は、ステートフル ファイアウォールを構成できることです。これは、ipfwadm や ipchains などの以前のツールでは提供できなかった重要な機能です。ステートフル ファイアウォールは、パケットを送受信するために確立された接続の状態を指定して記憶することができます。ファイアウォールは、パケットの接続追跡状態からこの情報を取得できます。ファイアウォールが使用するこの状態情報により、フィルタリングする新しいパケットを決定する際の効率と速度が向上します。有効な状態は、ESTABLISHED、INVALID、NEW、RELATED の 4 つです。

ESTABLISHED 状態は、パケットが確立された接続に属し、パケットの送受信に使用され、完全に機能していることを示します。 INVALID 状態は、パケットが既知のストリームまたは接続に関連付けられておらず、誤ったデータまたはヘッダーが含まれている可能性があることを示します。 NEW 状態は、パケットが新しい接続を開始したか、開始しようとしているか、またはパケットの送受信にまだ使用されていない接続に関連付けられていることを示します。最後に、RELATED は、パケットが新しい接続を開始し、すでに確立されている接続に関連付けられていることを示します。

netflter/iptables のもう 1 つの重要な利点は、ユーザーがファイアウォールの構成とパケット フィルタリングを完全に制御できることです。特定のニーズに合わせて独自のルールをカスタマイズし、必要なネットワーク トラフィックのみがシステムに入力されるようにすることができます。

(IV) iptablesの基礎知識

1. ルール

ルールとは、ネットワーク管理者が事前に設定した条件のことです。ルールは通常、「パケット ヘッダーがこのような条件を満たしている場合は、パケットをこのように処理する」と定義されます。ルールはカーネル空間のパケット フィルタ テーブルに保存されます。これらのルールは、送信元アドレス、宛先アドレス、トランスポート プロトコル (TCP、UDP、ICMP)、およびサービス タイプ (HTTP、FTP、SMTP など) を指定します。データ パケットがルールに一致すると、iptables は、許可 (ACCEPT)、拒否 (REJECT)、破棄 (DROP) など、ルールで定義された方法に従ってパケットを処理します。ファイアウォールを構成する主な原則は、これらのルールを追加、変更、および削除することです。

2. チェーン

チェーンは、パケットが移動するパスです。各チェーンは、実際にはルールのチェックリストです。各チェーンには、1 つ以上のルールを含めることができます。データ パケットがチェーンに到着すると、iptables はチェーンの最初のルールからチェックを開始し、データ パケットがルールで定義された条件を満たしているかどうかを確認します。条件を満たしている場合、システムはルールで定義された方法に従ってデータ パケットを処理します。条件を満たしていない場合、iptables は次のルールのチェックを続行します。パケットがチェーン内のどのルールにも一致しない場合、iptables はチェーンに事前定義されたデフォルトのポリシーに従ってパケットを処理します。

3. 表

テーブルは特定の機能を提供します。Iptables には、フィルター テーブル、nat テーブル、および mangle テーブルという 3 つの組み込みテーブルがあり、それぞれパケット フィルタリング、ネットワーク アドレス変換、およびパケット再構築を実装するために使用されます。

（１）フィルターテーブルフィルタ テーブルは主にデータ パケットをフィルタリングするために使用されます。このテーブルは、システム管理者が事前に定義した一連のルールに従って、適格なデータ パケットをフィルタリングします。ファイアウォールの場合、データ パケットをフィルター処理するための一連のルールがフィルター テーブルに指定されます。
フィルター テーブルは iptables のデフォルト テーブルです。テーブルが指定されていない場合、iptables はデフォルトでフィルター テーブルを使用してすべてのコマンドを実行します。フィルタテーブルにはINPUTチェーンが含まれています

(着信パケットを処理)、FORWARD チェーン (転送されたパケットを処理)、および OUTPUT チェーン (ローカルで生成されたパケットを処理)。フィルタ テーブルでは、データ パケットの受け入れまたは破棄のみが許可され、データ パケットを変更することはできません。

（２）NATテーブルnatqing は主にネットワーク アドレス変換 NAT に使用されます。このテーブルは、1 対 1、1 対多、多対多の NAT 作業を実現できます。iptables はこのテーブルを使用して、共有インターネット アクセス機能を実現します。 nat テーブルには、PREROUTING チェーン (着信パケットを変更)、OUTPUT チェーン (ルーティング前にローカルで生成されたパケットを変更)、および POSTROUTING チェーン (送信パケットを変更) が含まれています。

（３）マングルテーブルマングル テーブルは、特定のパケットを変更するために主に使用されます。一部の特殊なアプリケーションでは、合理的なデータ パケットの TTL や TOS など、データ パケットの伝送特性の一部を書き換える可能性があるためです。ただし、実際のアプリケーションでは、このテーブルの使用率は高くありません。

(V) システムファイアウォールをオフにする

システムのファイアウォール機能も iptables を使用して実装されているため、ユーザーがシステムの iptables の上にルールを設定すると競合が発生する可能性があります。そのため、iptables を学習する前に、システムのファイアウォール機能をオフにすることをお勧めします。

(VI) iptablesコマンドの形式
iptables のコマンド形式は比較的複雑で、一般的な形式は次のとおりです。

#iptables [-t テーブル] -コマンドマッチング操作

注意: iptables では、すべてのオプションとパラメータで大文字と小文字が区別されます。

1. テーブルオプション

テーブル オプションは、コマンドが適用される iptables 組み込みテーブルを指定するために使用されます。 iptables の組み込みテーブルには、フィルター テーブル、nat テーブル、および mangle テーブルが含まれます。

2. コマンドオプション

コマンド オプションは、ルールの挿入、ルールの削除、ルールの追加など、iptables の実行モードを指定するために使用されます。

-P または --policy はデフォルトのポリシーを定義します
-L または --list iptables ルールリストを表示します
-A または --append はルールリストの最後にルールを追加します
-I または --insert は指定された位置にルールを挿入します
-D または --delete ルールリストからルールを削除します
-R または --replace はルールリスト内のルールを置き換えます
-F または --flush はテーブル内のすべてのルールを削除します
-Z または --zero は、テーブル内のすべてのチェーンカウントとトラフィックカウンタをゼロにクリアします。

3. マッチングオプション

一致オプションは、送信元アドレス、宛先アドレス、トランスポート プロトコル (TCP、UDP、ICMP など)、ポート番号 (80、21、110 など) など、ルールに一致するために必要なパケットの特性を指定します。
-i または --in-interface はパケットが入るネットワークインターフェースを指定します
-o または --out-interface はパケットが出力されるネットワークインターフェースを指定します
-p または --porto は、TCP、UDP など、パケットが一致するプロトコルを指定します。
-s または --source は、一致するパケットの送信元アドレスを指定します。
--sport は、パケットが一致する送信元ポート番号を指定します。ポートの範囲を指定するには、「開始ポート番号: 終了ポート番号」の形式を使用できます。
-d または --destination はパケットが一致する宛先アドレスを指定します
--dport は、パケットが一致する宛先ポート番号を指定します。ポートの範囲を指定するには、「開始ポート番号: 終了ポート番号」の形式を使用できます。

4. アクションオプション

アクション オプションは、パケットがルールに一致した場合に実行するアクション (受け入れ、破棄など) を指定します。

ACCEPT データパケットを受け入れる
DROPはパケットをドロップします
REDIRECT は、データ パケットをローカル ホストまたは別のホストのポートにリダイレクトします。この機能は通常、透過プロキシを実装したり、内部ネットワーク上の特定のサービスを外部に公開したりするために使用されます。
SNAT送信元アドレス変換、つまりデータパケットの送信元アドレスの変更
DNAT宛先アドレス変換は、データパケットの宛先アドレスを変更します。
MASQUERADE IP マスカレード、一般に NAT テクノロジーとして知られています。 MASQUERADE は、ADSL などのダイヤルアップ インターネット アクセスでの IP マスカレードにのみ使用できます。つまり、ホストの IP アドレスは ISP によって動的に割り当てられます。ホストの IP アドレスが静的に固定されている場合は、SNAT を使用する必要があります。
LOG機能は、ルールを満たすデータパケットの関連情報をログに記録し、管理者が分析してトラブルシューティングできるようにします。

(VII) iptablesコマンドの使用

1. iptablesルールを確認する

初期の iptables にはルールはありませんが、インストール中にファイアウォールを自動的にインストールすることを選択した場合は、システムにデフォルトのルールが存在します。まず、デフォルトのファイアウォール ルールを表示できます。

#iptables [-t テーブル名]
[-t テーブル名]: チェックするテーブルを定義します。テーブル名は、filter、nat、および mangle にすることができます。テーブル名が指定されていない場合は、デフォルトで filter テーブルが使用されます。
: 指定されたテーブルと指定されたチェーンのルールを一覧表示します
: 指定されたテーブル内のどのチェーンのルールを表示するかを定義します。チェーンが指定されていない場合は、テーブル内のすべてのチェーンのルールが表示されます。
#iptables -L -n (フィルターテーブル内のすべてのチェーンのルールを表示)
注意: 最後に -n パラメータを追加すると、IP と HOSTNAME が変換されず、表示速度が大幅に速くなります。
#iptables -t nat -L OUTPUT (nat テーブルの OUTPUT チェーンのルールを表示します)

2. デフォルトポリシーを定義する

データパケットがチェーン内のどのルールにも一致しない場合、iptablesはチェーンのデフォルトポリシーに従ってデータパケットを処理します。デフォルトポリシーは次のように定義されます。

#iptables [-t テーブル名]
[-t テーブル名]: 表示するテーブルを定義します。テーブル名は、filter、nat、および mangle にすることができます。テーブル名がない場合は、デフォルトで filter テーブルが使用されます。
: デフォルトポリシーを定義する
: 指定したテーブル内のどのチェーンのルールを表示するかを定義します。指定しない場合は、テーブル内のすべてのチェーンのルールが表示されます。
: データパケットを処理するアクション。ACCEPT（受け入れ）とDROP（破棄）を使用できます。
#iptables -P INPUT ACCEPT (フィルターテーブルINPUTチェーンのデフォルトポリシーをacceptに定義)
#iptables -t nat -P OUTPUT DROP (nat テーブルの OUTPUT チェーンのデフォルト ポリシーを破棄として定義します)
簡単なルールの例を作成します。経験も時間もないユーザーの場合は、シンプルで実用的なルールを設定する必要があります。最も基本的な原則は、「最初にすべてのデータ パケットを拒否し、次に必要なデータ パケットを許可する」というものであり、これは通常、フィルター テーブルのチェーンとして定義されます。一般的に、INPUT は DROP として定義され、データ パケットの進入をブロックし、その他の項目は ACCEPT として定義され、外部に送信されたデータが排出されます。
#iptables -P 入力ドロップ
#iptables -P 転送 受け入れ
#iptables -P 出力を受け入れる

3. ルールの追加、挿入、削除、置換

#iptables [-t テーブル名] チェーン名 [ルール番号] [-i | o ネットワークカード] [-p プロトコルタイプ] [-s 送信元 IP | 送信元サブネット] [--sport 送信元ポート番号] [-d ターゲット IP | ターゲットサブネット] [--dport ターゲットポート番号]
[-t テーブル名]: 表示するテーブルを定義します。テーブル名は、filter、nat、および mangle にすることができます。定義されていない場合は、デフォルトで filter テーブルが使用されます。
-A: 新しいルールを追加します。このルールはルール リストの最後の行に追加されます。このパラメータではルール番号は使用できません。
-I: ルールを挿入すると、その位置にある元のルールは順番に後ろへ移動されます。ルール番号が指定されていない場合は、最初のルールの前に挿入されます。
-D: ルールを削除します。完全なルールを入力するか、ルール番号を直接指定することができます。
-R: ルールを置き換えます。置き換えた後もルールの順序は変わりません。置き換えるルール番号を指定する必要があります。
: 指定されたテーブル内のチェーンを表示するためのルールを指定します。INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT、POSTROUTINを使用できます。
[ルール番号]: ルール番号は、ルールの挿入、削除、置換時に使用されます。番号はルールリストの順序で並べられます。最初のルールには 1 という番号が付けられます。
[-i | o NIC名]: iはデータパケットが入力されるNICを指し、oはデータパケットのバッチが出力されるNICを指します。
[-p プロトコル タイプ]: TCP、UDP、ICMP など、ルールが適用されるプロトコルを指定できます。
[-s 送信元IP | 送信元サブネット]: パケットの送信元IPまたはサブネット
[--sport 送信元ポート番号]: パケットの送信元ポート番号
[-d ターゲットIP | ターゲットサブネット]: パケットのターゲットIPまたはサブネット
[--dport 宛先ポート番号]: データパケットの宛先ポート番号
: データパケットを処理するアクション
#iptables -A INPUT -i lo -j ACCEPT (lo インターフェースからのすべてのパケットを受け入れるルールを追加します)
#iptables -A INPUT -s 192.168.0.44 -j ACCEPT (192.168.0.44 からのすべてのパケットを受け入れるルールを追加します)
#iptables -A INPUT -s 192.168.0.44 -j DROP (192.168.0.44 からのすべてのパケットをドロップするルールを追加します)
注意: iptables はルールを順番に読み取ります。2 つのルールが競合する場合は、最初のルールが優先されます。
#iptables -I INPUT 3 -s 192.168.1.0/24 -j DROP (INPUT チェーンの 3 番目のルールの前にルールを挿入して、192.168.1.0/24 からのすべてのパケットをドロップします)
注: -Iパラメータで挿入位置を指定しない場合は、すべてのルールの先頭に挿入されます。
#iptables -D INPUT 2 (フィルターテーブルのINPUTチェーンの2番目のルールを削除します)
#iptables -R INPUT 2 -s 192.168.10.0/24 -p tcp --dport 80 -j DROP (フィルター テーブル INPUT チェーンの 2 番目のルールを置き換えて、192.168.10.0/24 が TCP ポート 80 にアクセスするのを禁止します)

4. 明確なルールとカウンター

新しいルールを作成するときは、新しいルールに影響を与えないように、既存のルールまたは古いルールをクリアする必要があることがよくあります。ルールが多数あり、1 つずつ削除するのが面倒な場合は、clear rule パラメータを使用してすべてのルールをすばやく削除できます。
#iptables [-t テーブル名]
[-t テーブル名]: ポリシーを適用するテーブルを指定します。filter、nat、mangle を使用できます。指定しない場合は、デフォルトで filter テーブルが使用されます。
-F: 指定されたテーブル内のすべてのルールを削除します
-Z: 指定されたテーブル内のパケットカウンタとフローカウンタをゼロにリセットします
#iptables -Z (フィルタテーブル内のパケットカウンタとフローカウンタをゼロに設定する)
#iptables -F (フィルターテーブル内のすべてのルールを削除する)

5. ファイアウォールルールを記録して復元する

ファイアウォール ルールの記録と復元コマンドを使用すると、既存のファイアウォール メカニズムをコピーし、必要に応じて直接復元できます。
#iptables-save > ファイル名 (現在のファイアウォール ルールを記録)
#iptables-restore > ファイル名 (ファイアウォール ルールを現在のホスト環境に復元)

要約する

上記は、編集者が紹介した Linux サービスでファイアウォールを有効にする 2 つの方法です。皆様のお役に立てれば幸いです。ご質問がある場合は、メッセージを残していただければ、編集者がすぐに返信いたします。また、123WORDPRESS.COM ウェブサイトをサポートしてくださっている皆様にも感謝申し上げます。