LinuCレベル3 303試験の例題と解説
328.3パケットフィルタ
今回は303試験の試験範囲から、「328.3 パケットフィルタ」についての例題を解いてみます。
■トピックの概要
このトピックの内容(2009年8月28日時点)は以下の通りです。トピックの詳細はこちらからご確認ください。
328.3 パケットフィルタ
重要度:5
<説明>
iptablesの使用方法と設定に精通していること。
<主要な知識範囲>
- iptables を使用したパケットフィルタリング及び NAT(Network Address Translation)機能
<重要なファイル、用語、ユーティリティ>
- iptables
- iptables-save/iptables-restore
■例題
iptables-restoreの役割として正しいものを選びなさい。
- iptablesの設定を一時的に無効にする
- iptablesの設定をファイルに保存する
- iptablesの設定をファイルから復元する
- iptablesで拒否したパケットを復活させる
※この例題は実際のLinuC試験とは異なります。
解答と解説
答えは3. iptablesの設定をファイルから復元する です。
iptablesの設定は、様々なポリシーやルールの設定を行う必要があります。これらの設定はiptables-saveでファイルに保存することができます。
iptables-saveは、iptablesの設定を読み取り、iptablesコマンドのオプション形式でファイルに保存できます。
○iptables-saveの実行例
# iptables-save # Generated by iptables-save v1.3.5 on Wed Aug 26 15:52:18 2009 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [65:4783] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p esp -j ACCEPT -A RH-Firewall-1-INPUT -p ah -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Wed Aug 26 15:52:18 2009
※ iptablesの結果は標準出力に出力されるので、リダイレクトでファイルに保存する
iptables-restoreは、このファイルを読み込み、iptablesを実行して再度パケットフィルタリングの設定を行います。
ディストリビューションにもよりますが、たとえば/etc/sysconfig/iptablesとして設定を保存しておけば、iptablsサービスの起動スクリプトで自動的に設定を読み込ませることもできます。