Linuxコマンド » コマンドリファレンス索引 » セキュリティ » ネットワークセキュリティ » iptables – Linux パケットフィルタリング設定コマンド

iptables – Linux パケットフィルタリング設定コマンド

ネットワークセキュリティ
スポンサーリンク

iptables コマンドは、Linux カーネルに組み込まれた netfilter フレームワーク を操作して、パケットフィルタリングや NAT(アドレス変換)を設定するためのコマンドです。
ファイアウォールの構築、ポート制御、IP マスカレードなどに利用されます。

構文(Syntax)

iptables [テーブル] <コマンド> [チェイン] [条件] [-j アクション]

主なテーブル

テーブル用途
filterパケットフィルタリング(デフォルト)
natアドレス変換(NAT, マスカレード, ポートフォワード)
mangleパケットのヘッダ操作(TTL 書き換えなど)
rawコネクショントラッキング前の処理

主なコマンド(チェイン操作)

コマンド説明使用例
-Aルールを追加(append)iptables -A INPUT -p tcp --dport 22 -j ACCEPT
-Iルールを挿入(insert)iptables -I INPUT 1 -p icmp -j DROP
-Dルールを削除(delete)iptables -D INPUT 2
-Rルールを置換(replace)iptables -R INPUT 3 -j ACCEPT
-L現在のルールを一覧表示iptables -L -n -v
-F全ルールを削除(flush)iptables -F
-Pデフォルトポリシーを設定iptables -P INPUT DROP
-N新しいチェインを作成iptables -N LOGGING
-Xユーザー定義チェインを削除iptables -X LOGGING

主な条件(マッチ条件)

条件説明使用例
-p <proto>プロトコル指定(tcp, udp, icmp など)-p tcp
--dport <port>宛先ポート指定--dport 80
--sport <port>送信元ポート指定--sport 22
-s <IP>送信元 IP-s 192.168.1.10
-d <IP>宛先 IP-d 10.0.0.1
-i <iface>受信インターフェース-i eth0
-o <iface>送信インターフェース-o eth1

主なアクション(ターゲット)

アクション説明
ACCEPTパケットを許可
DROPパケットを破棄(応答しない)
REJECTパケットを拒否(エラーを返す)
LOGログに記録
MASQUERADENAT 変換で送信元を外部インターフェースに変更
DNAT宛先アドレスを変換(ポートフォワード)
SNAT送信元アドレスを変換

実行例

現在のルールを表示

iptables -L -n -v

SSH(22番) を許可

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

HTTP(80番) を許可

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

ICMP(ping) を拒否

iptables -A INPUT -p icmp -j DROP

デフォルトポリシーを拒否に設定

iptables -P INPUT DROP

NAT(ポートフォワード)

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80

マスカレード(NAT)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

全ルールを削除

iptables -F

エラー例(root 権限なし)

iptables -L

出力例:

iptables v1.8.7 (nf_tables): Could not fetch rule set generation id: Permission denied (you must be root)

関連コマンド

  • ip : ネットワーク設定コマンド。
  • nft / nftables : iptables の後継ツール。
  • firewalld : iptables/nftables をラップする管理ツール。

備考

  • iptables は従来の標準ツールですが、近年は nftables に移行しつつあります。
  • ルール変更は再起動で消えるため、恒久化するには iptables-save / iptables-restore を利用します。
  • サーバーを外部公開する場合、ルール設計を誤ると接続不能になるため注意が必要です。

参考

関連記事

  • ufw – Uncomplicated Firewall ufw は、Linux の iptables/nftables を簡単に操作できる ファイアウォール管理ツール です。複雑なルールを覚えずに、直感的なコマンドでポート制御やアクセス制御を行えます。Ubuntu などのディ […]...
  • git stash完全ガイド|一時退避から応用・トラブル対策までわかりやすく解説 作業中のコードをコミットせずに一時的に退避させたい…そんなときに活躍するのが git stash コマンドです。 Git を使った開発では、「今の作業を中断して、急ぎのバグ修正に対応したい」「複数のタスクを並行して進めた […]...
  • socat – 多用途な双方向データ転送ツール socat(SOcket CAT)は、任意の2つのデータストリーム間で双方向にデータを転送するためのコマンドです。netcat の上位互換的な位置づけで、TCP/UDP通信、UNIXドメインソケット、シリアルポート、ファ […]...
  • git rebase入門:mergeとの違いから安全な使い方まで徹底解説 Gitを使った開発では、複数人で作業した履歴をまとめたり、自分の作業ブランチを最新状態に合わせる場面が頻繁にあります。そのときによく使われるのが merge と rebase です。どちらもブランチの変更を取り込むコマン […]...
  • su – 別ユーザー(既定は root)に切り替える su は、現在のシェルを保ったまま別ユーザーとしてコマンドを実行する、またはそのユーザーのシェルに切り替えるためのコマンドです(既定の対象は root)。対象ユーザーのパスワードで認証するのが基本で、su - で「ログイ […]...
  • traceroute – 通信経路を表示するコマンド traceroute コマンドは、指定したホストまでのネットワーク経路(ルーターやゲートウェイの通過点)を表示するためのコマンドです。ネットワーク遅延や接続トラブルの原因を調査するときに利用されます。 目次 構文(Syn […]...
  • nmap – ネットワーク探索とセキュリティスキャンツール nmap(Network Mapper)は、ネットワーク上のホストやサービスを探索し、稼働しているポートやOS、サービスの種類を検出するためのコマンドです。サーバー管理やセキュリティ診断で、開いているポートや稼働中のサー […]...
  • git stash – 作業中の変更を一時的に退避するコマンド git stash コマンドは、作業ツリーやステージングエリアにある変更を一時的に退避して、作業ディレクトリをクリーンな状態に戻すためのコマンドです。作業途中で別のブランチに切り替えたいときや、未完了の変更を一時的に保存 […]...
スポンサーリンク
Bash玄
Bash玄

はじめまして!Bash玄です。

エンジニアとしてシステム運用に携わる中で、手作業の多さに限界を感じ、Bashスクリプトを活用して業務を効率化したのがきっかけで、この道に入りました。「手作業は負け」「スクリプトはシンプルに」をモットーに、誰でも実践できるBashスクリプトの書き方を発信しています。

このサイトでは、Bashの基礎から実践的なスクリプト作成まで、初心者でもわかりやすく解説しています。少しでも「Bashって便利だな」と思ってもらえたら嬉しいです!

# 好きなこと
- シンプルなコードを書くこと
- コマンドラインを快適にカスタマイズすること
- 自動化で時間を生み出すこと

# このサイトを読んでほしい人
- Bashに興味があるけど、何から始めればいいかわからない人
- 定型業務を自動化したい人
- 効率よくターミナルを使いこなしたい人

Bashの世界に一歩踏み出して、一緒に「Bash道」を極めていきましょう!

Bash玄をフォローする
Bash玄

コメント