iptables
このルールはどういう意味ですか?
iptables -t raw -I OUTPUT -j CT -p udp -m udp --dport 69 --helper tftp
答え1
以下の技術的な説明では:
-t raw -I OUTPUT
:このルールをOUTPUT
Watch Chainに挿入しますraw
。この特殊テーブルは、パケットが接続トレースから保護されるように構成するためにのみ使用されます。当然のように思えるかもしれませんが、いくつかの接続追跡が必要なので、テーブルには合計PREROUTING
とOUTPUT
チェーンしかありません。FORWARD
-j CT
:名前付きターゲットに移動しますCT
。これはカスタムターゲットであり、1つのターゲットの簡単な例として組み合わせることができるため、ACCEPT
空は限界です。ここで実際に目標が何であるかをLOG
理解するには、残りの規則が必要です。CT
-p udp
:ルールに一致するプロトコルはudpです。マンページによると、指定されたプロトコルはtcp、、、、、または特別なキーワードの1つ、またはこれらudp
のプロトコルの1つまたは別のプロトコルをudplite
表す数値です。次のリストを取得できますicmp
esp
ah
sctp
all
ここにプロトコル番号があります。-m udp
:udp
拡張オプションを一致させます。 UDP一致のオプションは、次のように--sport
and--dport
と省略することができるため、これはやや過剰です。iptables-extensions
マンページには次のように記載されています。-p または --protocol が指定され、不明なオプションが見つかった場合にのみ、iptables はオプションを使用可能にするためにプロトコルと同じ名前の一致するモジュールをロードしようとします。--dport 69
:dest port = 69と--dport
udpの一致オプション--helper tftp
:一部のプロトコルは「奇妙な」方法で動作し、その動作を管理するためにヘルパーを使用する必要があります。 ftpは、あるポートがコマンド/信号転送に使用され、もう一方のポートがデータ転送に使用される例です。詳しくはこちらここでヘルパー。
答え2
このルールは、より大きなルールセットの一部であるようです。
-t raw -I OUPUT
:テーブルのOUTPUTチェーンの先頭にこのルールを挿入します。raw
-j CT
:条件が満たされたときにターゲットにジャンプCT
現状
-p udp
:プロトコルはudpでなければなりません。-m udp
:拡張を有効にするudp
- UDPポートをフィルタリングできる必要があります。--dport 69
:宛先ポートが69のUDPデータグラムに適用可能--helper tftp
: 関連データグラムを追跡するには、次の期待値を使用します。tftp