名前
ipchains - IP
ファイアウォール管理
書式
ipchains -[ADC] チェイン
ルールの詳細
[オプション]
ipchains -[RI] チェイン
ルール番号
ルールの詳細
[オプション]
ipchains -D チェイン
ルール番号
[オプション]
ipchains -[LFZNX] [チェイン]
[オプション]
ipchains -P チェイン
ターゲット
[オプション]
ipchains -M [ -L | -S ] [オプション]
説明
ipchains は Linux
カーネル中の IP
ファイアウォールのルールを設定し、保守し、
検査するためのものである。
これらのルールは、4
つのカテゴリに分類できる
- IP input (入力) チェイン、IP
output (出力) チェイン、 IP
forward (転送)
チェイン、そしてユーザ定義チェインである。
これら各々のカテゴリ毎に、ルールの一覧表【訳注:
table/テーブル】が
用意される。
これらルールはユーザ定義チェインのどれか一つを参照することもある。
詳細については ipfw(4)
を参照のこと。
ターゲット
ファイアウォールルールでは、パケットの判定基準とターゲットを指定する。
対象パケットがマッチしないと、チェイン中の次のルールが検査される。
ルールに一致する場合、次のルールはターゲットの値によって指定される。
ターゲットの値はユーザ定義チェインの名前か、または特別な値である
ACCEPT, DENY, REJECT, MASQ, REDIRECT,
RETURN のうちの 1
つである。
ACCEPT
は、対象パケットを通過させる。
DENY
は、対象パケットを床へ落とし、捨て去る。
REJECT
は、対象パケットを捨て去るという点では
DENY と同じだが、 DENY
よりも
礼儀正しく、デバッグし易くなっている。
何故なら、パケットを捨てる際に対象パケットを捨てたことを示す
ICMP
メッセージを送信元に返信するからである。
( DENY と REJECT は、 ICMP
パケットに関しては動作が同じであることに注意されたい。)
MASQ は forward
チェインとユーザ定義チェインに対してのみ有効であり、且つカーネルが
CONFIG_IP_MASQUERADE
付きでコンパイルされている場合にだけ使用できる。
これにより、パケットはあたかもローカルホストから発信されたかのように
マスカレードされる。
更に、受信されるパケットは先にマスカレードされたホストに対する返答として
認識されると共に、自動的にマスカレード外し
(demasquerade) が行われ、 forward
チェインのチェックから外される。
REDIRECT は input
チェインとユーザ定義チェインに対してのみ有効であり、カーネルが
CONFIG_IP_TRANSPARENT_PROXY
付きでコンパイルされている場合にだけ使用できる。
このターゲットにより、リモートホスト宛に送信されたパケットであっても
ローカルのソケットへ振り向けられる。
リダイレクト先のポートにデフォルト値である
0
が指定されていると、
そのパケットの宛先ポートがリダイレクト先のポートとして使用される。
このターゲットを用いる時は、オプションの引数としてポート番号が指定できる。
ユーザ定義チェインの終りに達するか、またはターゲット
RETURN
を持つルールにマッチした場合、以前の
(呼び出し元の)
チェイン中の次の
ルールが評価される。
組み込み済みチェインの終りに達するか、または組み込み済みチェインのルールの
ターゲットとして
RETURN
にマッチした場合、チェインに指定されたポリシーがそのパケットの運命を
決定する。
オプション
ipchains
が認識するオプションは、幾つかのグループに分類できる。
コマンド
これらのオプションは実行する特定の機能を指定する
-
以下に特別に指定のない限り、コマンドラインではこれらのオプションのうち
いずれか一つしか指定することができない。
ロングバージョンのコマンドやオプション名は、必ずしも完全な形の名前で
指定する必要はなく、
ipchains
が他のオプションと識別することができるだけの長さがあれば十分である。
【訳注: 例えば、 --append
の場合、 --a
で始まるオプション名は他にないので、
--app でも可である。】
- -A, --append
- 選択したチェインの末尾に
1
つ以上のルールを追加する。
名前解決の結果、発信元アドレスと宛先アドレスの両方またはいずれかの名前が
1 つ以上の IP
アドレスを持つ場合、ルールは各々の可能なアドレスの組合せ毎に
追加される。
- -D, --delete
- 選択したチェインから、1
つ以上のルールを削除する。
このコマンドには 2
つのバージョンがある
- ルールは
(最初のルールを 1
として数え始めて)
チェイン中の番号で
指定されるか、一致するルールにて指定される。
- -R, --replace
- 選択したチェインのルールを置き換える。
名前解決の結果、発信元と宛先の両方またはいずれかの名前が
複数の IP
アドレスを持つ場合、コマンドの実行は失敗する。
ルールには 1
から始まる番号が振られる。
- -I, --insert
- 選択したチェインへ、
1
つ以上のルールを指定のルール番号で挿入する。
従って、ルール番号に
1
を指定すると、そのルールはチェインの先頭に
挿入される。
- -L, --list
- 選択したチェインに含まれる全てのルールを一覧表示する。
チェインを指定しないと、全てのチェインが一覧表示される。
チェインを指定しない時に、
-Z (ゼロ)
オプションとの組み合わせは有効である。
正確な出力は他の引数の指定によって行われる。
- -F, --flush
- 選択したチェインの内容を一気に消去する。
これは全てのルールを一つずつ削除することと等価である。
- -Z, --zero
- 全てのチェインのパケットカウンタとバイトカウンタをゼロに初期化する。
カウンタがクリアされる直前にその値を見たい時の為に、
-L, --list (リスト)
オプションとの組み合わせは有効である
-
カウンタのクリアを行う際、特定のチェインを指定することは出来ない。
( 全ての
チェインが表示されると共にクリアされる)
- -N, --new-chain
- 指定した名前のユーザ定義チェインを新たに作成する。
既存のターゲットと同じ名前は使用できない。
- -X, --delete-chain
- 指定したユーザ定義チェインを削除する。
削除対象チェインへの参照が存在してはならない
(参照されている場合は、そのチェインを削除する前に、参照元のルールを
削除するか、或は他のチェインへ移動しなければならない)。
引数が与えられなかった場合、
ipchains
は組み込み済みチェインを除く
全てのユーザ定義チェインを削除しようとする。
- -P, --policy
- チェインのポリシーを指定したターゲットに設定する。
正しいターゲットについては、
ターゲット
の項を参照。
ポリシーを持つことができるのはユーザ定義ではないチェインだけであり、
組み込み済みチェインもユーザ定義チェインもポリシーのターゲットとはなり得ない。
- -M, --masquerading
- このオプションは、(
-L
オプションと組み合わせて)
現在マスカレードされている接続を閲覧したり、(
-S
オプションと組み合わせて)
カーネルにマスカレードの値を設定する。
- -S, --set tcp tcpfin
udp
- IP
マスカレードに使用するタイムアウト値を変更する。
このコマンドは常に 3
つのパラメータを取り、それぞれ、TCP
セッション、 FIN
パケット受信後の TCP
セッション、UDP
パケットに対するタイムアウト
値 (秒) を表す。
タイムアウト値 0
は、対応する項目の現在のタイムアウト値が保持される
ことを意味する。
このオプションは、
-M
フラグとの組み合わせの時のみ使用できる。
- -C, --check
- 選択したチェインで与えられたパケットを照合する。
このパケットを、ネットワークから来た
"本物の"
パケットのように扱わせることで
カーネルルーチンのテストに使える。
組み込み済みチェインやユーザ定義チェインをチェックするのにも使える。
ファイアウォールのルールを規定した引数は、テスト用パケットを構築するのにも
使える。 特に、 -s
(発信元)、 -d (宛先)、
-p (プロトコル)、 -i
(インターフェース)
フラグは必ず指定する。
- -h, --help
- コマンドの書式に関する
(今のところは非常に簡単な)
説明を表示する。
オプションに icmp
を指定すると、ICMP
名の一覧を表示する。
- -V, --version
- 単に ipchains
のバージョン番号を表示する。
引数
下記に示すパラメータは
(追加 (append), 削除 (delete),
置換(replace), 挿入 (insert)
及びチェック (check)
の各コマンドにて用いられる)
ルールの
指定を補う。
- -p, --protocol[!]
protocol
- チェック対象となるルールまたはパケットのプロトコル。
プロトコルには tcp,
udp, icmp, all,
のどれか一つを指定する。
またはこれらのプロトコルに対応したプロトコル番号や、これらのプロトコルに
対応していない番号を指定できる。
また、 /etc/protocols
にあるプロトコル名での指定も許される。
プロトコル指定の前に
"!"
を置くと、そのプロトコルを指定しないことになる。
数値 0 は all
と等価である。
プロトコル all
は全てのプロトコルと一致し、このオプションが省略された場合のデフォルト値
である。 all は check
コマンドと組み合わせてはならない。
- -s, --source, --src [!]
address[/mask] [!] [port[:port]]
- 発信元の指定。 address
は、ホスト名・ネットワーク名・素の
IP
アドレスのいずれでもよい。
mask
は、ネットマスク・単なる数
(ネットマスクの左側から数えた
1 の個数)
のいずれでもよい。
したがって、 24
という mask の値は、
255.255.255.0
と等価である。
アドレス指定の前に
"!"
を置くと、そのアドレスを指定しないことになる。
発信元にはポート指定または
ICMP
タイプを含めてもよい。
これはサービス名、ポート番号、ICMP
タイプの数値、あるいは
ipchains -h icmp
コマンドで表示される
ICMP
タイプ名のいずれかでよい。
これら ICMP
名の多くはタイプとコードの両方を参照することに注意されたい。
よって、 -d
フラグの後の ICMP
コードの指定は誤りである。
この節の残りの部分では、
port
はポート指定または
ICMP
タイプのいずれかを意味する。
対象とするポートの範囲を
port:port
という書式で指定することもできる。
最初のポートを省略すると、"0"
とみなされる。
最後のポートを省略すると、"65535"
とみなされる。
ポートは、 tcp,
udp, icmp
プロトコルとの組み合わせでのみ指定可能である。
ポート指定の前に
"!"
を置くと、そのポートを指定しないことになる。
check
コマンドが指定された場合、厳密に
1
つのポートが必要である。
-f (fragment)
フラグが指定された場合、ポートの指定は許されない。
- --source-port
[!] [port[:port]]
- 発信元ポートまたは発信元ポート範囲の、個別指定を可能とする。
詳細については、前出の
-s
フラグに関する解説を参照のこと。フラグ
--sport
は、このオプションの別名である。
- -d, --destination, --dst
[!] address[/mask] [!] [port[:port]]
- 宛先指定。
構文についての詳細な説明は、
-s (source)
フラグの解説を参照のこと。
ポートを持たない ICMP
に対しては、"宛先ポート"
は数字の ICMP
コードを表す。
- --destination-port
[!] [port[:port]]
- ポートの個別指定を可能とする。詳細については、
-s
フラグの解説を参照のこと。フラグ
--dport
は、このオプションの別名である。
- --icmp-type
[!] typename
- ICMP
タイプの指定を可能にする
(正しい ICMP
タイプ名を確認するには、
-h icmp
オプションを使用する)。
宛先指定に ICMP
タイプを付加するよりも、これを利用するほうがより便利な
場合が多い。
- -j, --jump
target
- これはルールのターゲットを指定する
-
すなわち、ルールにマッチしたパケットの行く末である。
ターゲットはユーザ定義チェイン
(但し、当該ルールが含まれているものを
除く)
か、パケットの運命を直接決定する特定のターゲットのうちの一つが
指定可能である。
ルール中でこのオプションが省略された場合には、パケットの運命には全く
影響しないが、ルールのカウンタの値は増加する。
- -i, --interface [!]
name
- (input
チェインにおいては)
受信したパケットが通過するインターフェース名、
(forward 及び output
チェインにおいては)
送信されるパケットが通過する
インターフェース名を指定する。
このオプションが省略された場合は空文字列と見なされ、全ての
インターフェース名を指定することと同じ意味になる。
インタフェース名の前に
"!"
が置かれると、そのインターフェースを
指定しないという意味になる。
インタフェース名の末尾の
"+"
は前方一致を示し、"+"
の直前までの文字列
で始まるインタフェースの全てにマッチする。
- [!] -f, --fragment
- 寸断された (fragment:
フラグメント)
パケットのうち 2
番目以降の
フラグメントだけを参照するルールであることを意味する。
そのようなパケット
(または ICMP タイプ)
の発信元ポートや宛先ポートを
識別する方法は無いので、この類のパケットはあらゆるルールとマッチしない。
"-f" フラグの前に
"!"
があると、2番目以降のフラグメントを参照しない。
その他のオプション
以下のオプションを追加することができる
-
- -b,
--bidirectional
- 双方向モード。
ルールは IP
パケットに対し双方向にマッチする
-
これは発信元と宛先を交換してルールを繰り返して記述することと同じ効果を
もたらす。 TCP syn
パケットの送出を許可する設定に
-b
ルールを適応すると、TCP
syn
パケットでないパケットの受け取りを許可する設定にはならない。
【訳注: -b
フラグが反対を意味するからといって、"TCP
synパケット" の反対
の意味で
"非SYNパケット"
という対応になったり、
"パケットの送出"
の反対 の意味で
"パケットの受けとり"
という対応にはならない。
意味が反対になるのは発信元アドレスと宛先アドレスの交換によるパケットの
方向だけであり、 "SYN
パケット"
が"非SYNパケット"
にはならないし、 input
チェインから output
チェインに扱いが変わる訳でもない。】
つまり、-b
フラグは使わずに、きちんと一つずつルールを指定したほうがよい。
- -v, --verbose
- 詳細表示。
このオプションは、コマンドのインターフェースアドレス・(もしあれば)
ルールのオプション・TOS
マスク・パケットとバイトのカウンタを一覧表にして
表示する。
カウンタ表示の後の
'K', 'M', 'G' は各々、 1000, 1,000,000,
1,000,000,000 倍を 意味する。
(但し、 -x
フラグはこの表示方法を変更する。)
-M
と組み合わせて使うと、デルタシーケンス番号
(delta sequence numbers) に
関連する情報も表示される。
追加、挿入、削除、置換にこのオプションを適用すると、ルールの詳細情報が
表示されるようになる。
- -n, --numeric
- 数値での出力。 IP
アドレスとポート番号が数値形式で出力される。
デフォルトでは、 ipchains
はそれらをホスト名、ネットワーク名、或は
サービス名で(出来るだけ)表示しようと試みる。
- -l, --log
- マッチしたパケットをカーネルのログに記録する。
ルールにこのオプションが設定される時、
Linux カーネルは printk()
関数を通じて、マッチしたパケット全ての(多くは
IP
ヘッダフィールドに関する)
情報を出力する。
- -o, --output
[maxsize]
- マッチしたパケットをユーザ空間のデバイスへコピーする。
これは現在主にユーザ空間でファイアウォールの効果を使って何かしたい
開発者が使用する。
オプション引数の最大サイズはコピーされるパケットの最大数を制限する
為に使われる。
このオプションはカーネルを
CONFIG_IP_FIREWALL_NETLINK を設定して
コンパイルした時のみ有効である。
- -m, --mark
markvalue
- マッチしたパケットに印を付ける。
パケットには 32
ビットの符号無しの数値で印が付けられ、
その値によって
(そのうち)
そのパケットが内部で
どのように扱われるかが変更できるようになるだろう。
あなたがカーネルハッカーでなければ、このオプションは気にしなくて良い。
マーク値 が + 或は -
から始まる際には、
(ゼロから始まる)
現在のマーク値からその値を
加算或は減算する。
- -t, --TOS andmask
xormask
- IP ヘッダ内の TOS
フィールドを変更する為に使用されるマスク。
パケットがルールにマッチする時、その
TOS フィールドは 1
番目のマスク
でビット単位の論理積が行われ、その結果は
2
番目のマスクでビット単位の
排他的論理和が行われる。
マスク値は 16 進の 8
ビット値で指定する。
TOS フィールドの LSB
は不変でなければならない
(RFC 1349) 。
これを変更しようとすると、拒絶される。
すなわち、 TOS
ビットが 1
つ以上設定されているものがこれに該当する。
パケットに複数の TOS
ビットを設定しようとすると、(標準出力を通じて)
ワーニングメッセージを出す。
そのような TOS
値を持つパケットが当該ルールに到達することはあり得ないと
わかっているなら、ワーニングメッセージは無視できる。
勿論、 TOS
の操作はルールのターゲットが
DENY 或は REJECT
の場合には無意味である。
- -x, --exact
- 番号表示の拡張。
パケット及びバイトカウンタの値を
K (1000倍)、 M (1000K倍) 或は G
(1000M倍)で丸めた値でなく、正確な値で表示する。
このオプションは -L
コマンドでのみ有効である。
- [!] -y, --syn
- TCP パケットの内、SYN
ビットがセットされ
ACK ビットと FIN
ビットがクリア
されたパケットにのみマッチする。
そのようなパケットは、TCP
接続の開始要求に使用される。
例えば、あるインターフェースへ到着するそのようなパケットを遮断すると、
内向きの TCP
接続を防止するが、外向きの
TCP
接続は影響を受けない。
このオプションは、プロトコルの種類が
TCP
に設定されている場合にのみ意味を持つ。
"-y" の前に "!"
フラグがあると、このオプションの判定結果が否定される。
【訳注: -y
の場合、各々のビットの条件は
"SYN=1 and ACK=0 and FIN=0" の
組合せにのみマッチする。
"! -y"
はこの否定なので、各ビットの組合せが上記以外の全てのパケットが
マッチする。
すなわち、 "SYN=0 or ACK=1 or
FIN=1"
という条件になる。
SYN ビットが 0
であれば良いのは言うまでもなく、例えば
"SYN=1 and ACK=1 and FIN=0"
という組合せでもマッチする。】
- --line-numbers
- ルールを一覧表示する際、各ルールの先頭にそのルールのチェイン中での
位置に対応する行番号を追加する。
- --no-warnings
- 全ての警告を無効にする。
ファイル
/proc/net/ip_fwchains
/proc/net/ip_masquerade
返り値
各種エラーメッセージは標準エラー出力に出力される。
正常動作時の終了コードは
0 である。
無効な、或は誤ったコマンド行パラメータに起因すると思われるエラーは、
終了コード 2
を発生する。
その他のエラーでの終了コードは
1 である。
バグ
ターミナルからの入力により
forward
チェインへルールが挿入または追加された
ときに IP
転送機能が有効になっていない場合で
--no-warnings を
指定していなければ、誤りを修正するまで
IP
転送が行われないことを警告する
メッセージが標準出力へ表示される。
これは、(2.0
カーネルには存在しなかった)
必要条件に気付かないユーザを助け
るためのものである。
パケットカウンタとバイトカウンタを
1
つのチェインの分だけリセットする
方法は無い。これはカーネルの制限である。
ループの検知は ipchains
では行われない。
ループ状態にあるパケットは破棄されログに記録されるが、
うっかりループを作ってしまうことを考慮して、ログから見つけ出すことが
必要である。
新しい 2.1
カーネルのパケットスケジューリングのルーチンを詳述する文書が
リリースされる迄、パケットのマーキングの効果に関する説明は意図的に
曖昧にしている。
(組み込み済みチェインの)
ポリシーカウンタを 0
にする方法は無い
。
注意
ipchains は、新しい IP
ファイアウォールツリーを利用するという点で、Jos
Vos 作の ipfwadm
とは大きく異なっている。
ipchains の機能は ipfwadm
のスーパーセットであり、コマンドはほぼ
1 対 1 で
対応付けることができる。
新しいコマンド名は、より理に適ったものであると思う。
とはいえ、注意すべき変更点もいくつか存在する。
フラグメントの扱いが異なる。
従来は、2
番目以降のフラグメントを全て通過させていた
(通常、これは安全である)。
現在では、これらをフィルタすることができる。
すなわち、 ipfwadm
からルールを変換する際には、フラグメントを許可する
ルールを明示しなければならない。
同様に、送信元及び宛先ポートに
0xFFFF (ICMP では 0xFF) を指定して
チェックする、古い統計
(accounting)ルールを探す必要がある。
これはフラグメントの統計を取る古い方法である。
統計 (accounting)
ルールは、現在は input
チェインと output
チェインへ
統合されている。
以前の挙動と同じようにするには以下のようにすればよい
-
ipchains -N acctin
ipchains -N acctout
ipchains -N acctio
ipchains -I input -j acctio
ipchains -I input -j acctin
ipchains -I output -j acctio
ipchains -I output -j acctout
これは 3
つのユーザ定義チェイン、
acctin, acctout , acctio,
を生成する。
これらはあらゆる統計ルールを含められる。
(これらのルールは -j
フラグを使わず指定するべきである。
そうすれば、パケットはこれらのチェインを単に無傷のまま通過する。)
カーネルが MASQ
ターゲットや REDIRECT
ターゲットが不適切なところにある
(つまり、 forward
ルール以外に MASQ
があったり、入力ルール以外に
REDIRECT がある等)
のを見つけると、syslog
にメッセージを記録し、そのパケットは破棄される。
SYN 及び ACK
に合致する際の古い挙動
(従来、非 TCP
パケットに対しては
無視されていた)
が変更された。 非 TCP
パケット固有のルールに対する
SYN
オプションは誤りである。
ACK
マッチングオプション
( -k フラグ)
は、もはやサポートされない。
! と -y
との組み合わせがこれに相当する)。
現在では、TOS
の最下位ビットを設定・変更する
TOS マスクを
明記するのはエラーになる
- 以前の TOS
マスクの場合、そのような試みはカーネル内部で黙って
変更されていた。
現在、 -b
フラグは単に送信元及び宛先の指定を反転させるルールの組合せを
挿入或は削除する為だけになった。
インターフェースをアドレスで指定する方法は無い。インターフェース名を使うこと。
著者
Rusty Russell
<rusty@linuxcare.com>。細かな点まで校正してくれた
Hans Persson
にお礼が言いたい。今後私が書く文書は、全部彼に読んでもらいたい!
翻訳者
大神 淳 <ati@ff.iij4u.or.jp>
松田 陽一 <matsuda@palnet.or.jp>
日本語版校正
白方 健太郎 <argrath@ub32.org>
武井 伸光 <takei@webmasters.gr.jp>
元木 顕弘 <amotoki@dd.iij4u.or.jp>
関根 達夫 <tsekine@isoternet.org>