Linux豆知識 210

「/etc/sysconfig/iptables」ファイル

このエントリーをはてなブックマークに追加
今回は、「/etc/sysconfig/iptables」ファイルについて。

このファイルはその名前から想像できるようにiptablesコマンドに関するファイルです。もっと詳しく言うと、「OS起動時に、システムに設定するiptablesのルールを指定するファイル」です。具体的にファイルの記述例を見てみましょう。

--
# cat /etc/sysconfig/iptables
*filter
:INPUT DROP [5:300]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [32:3205]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
COMMIT
--

この記述例では、INPUTチェインとFORWARDチェインのポリシーを「DROP」、OUTPUTチェインのポリシーを「ACCEPT」に指定し、INPUTチェインのTCP/22番ポートとTCP/8080番ポート宛てのパケットを受け入れるという指定を行っています(詳しくは、iptablesコマンドの利用法について参照してください)。

このファイルを作成するには、「iptables-save」コマンドを利用するのが簡単です。「iptables-save」コマンドを利用するには管理者権限が必要です。このコマンドを実行すると、現在コンピュータに適用されているiptablesのポリシーやルールが出力されます。

--
# iptables-save > filename
--

「> filename」を省略すると、標準出力(すなわち、ディスプレイ)に結果が出力されます。filenameに「/etc/iptables」を指定すると、このファイルに結果が書き込まれます(実行前に/etc/iptablesのバックアップを取る、いったん他のファイルに記述するなどの施策をとることをお勧めします)。この設定ファイルを一から書くとミスする可能性が大きく、設定をミスすると通信ができなくなる恐れがあるので、慣れていない人がこのファイルを設定するときにはまず「iptables-save」コマンドを利用し、必要に応じてエディタで編集するようにしましょう。

なお、このファイルは主にRed Hat系のLinuxディストリビューションに存在するファイルです。Linuxディストリビューションによっては、このファイルが無いか、別のディレクトリに存在する場合もあります。また、「iptables-save」の逆、すなわちファイルの内容をシステムのiptablesに反映させるコマンドは「iptables-restore」ですので、あわせて覚えておきましょう。

--
# iptables-restore < filename
--

ページトップへ