すべてのiptablesルールを見る

すべてのiptablesルールを見る

iptables規制をもっと詳しく見る方法はありますか?

最近、さまざまなIPに偽装を追加しました。

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
service iptables save
service iptables restart

これはすでに私が欲しいものを行いますが、

iptables -L

私が得た結果は、私が通常得たものと同じです。

Chain INPUT (policy ACCEPT)
target    prot opt source        destination

Chain FORWARD (policy ACCEPT)
target    prot opt source        destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source        destination

ルール(私が追加したルールを含む)を表示するにはどうすればよいですか? (システムはCentOS 6です)

答え1

-L、オプションを使用して現在のファイアウォールルールを一覧表示する場合は、対応する--listNetfilterテーブル(またはfilterいずれnatmangle)も指定する必要があります。したがって、テーブルにルールを追加する場合は、オプションを使用して明示的に指定する必要があります。rawsecuritynat-t--table

iptables --table nat --list

またはオプションの省略形を使用します。

iptables -t nat -L

特定のテーブルを指定しないと、そのfilterテーブルがプライマリテーブルとして使用されます。


-nより高速な結果を得るには、ホスト名の代わりに数値IPアドレスを印刷するオプションを含む、リバース--numericDNSルックアップを待つ必要はありません。

-vオプションを含めると、より多くの情報を得ることができます--verbose

答え2

iptablesfilter、および5つの異なるテーブルを制御natします。指定された呼び出しでは、オプション引数で指定されたテーブルの1つだけが表示または変更されます(デフォルトは)。ファイアウォールの全体的な状態を表示するには、各テーブルを順番に呼び出す必要があります。manglerawsecurityiptables-tfilteriptables

また、ルールを正確に表現するには、optionsを渡す必要があります-v。そうしないと、フィルタリングルールのインターフェイスなどのいくつかの重要な基準が出力から省略されます(たとえば、「すべてのアイテムを許可する」ルールと「ループバックインターフェイスのすべてのアイテムを許可する」ルールは区別するためにのみ使用できます-v)。

したがって、必要なnetfilterルールの完全なデモを得るために

iptables -vL -t filter
iptables -vL -t nat
iptables -vL -t mangle
iptables -vL -t raw
iptables -vL -t security

あるいは、iptables-saveすべてのテーブルのすべてのルールを解析可能な形式で表示するプログラムを呼び出すこともできますiptables-restore。この形式は人間が読むこともできます(iptablesテーブルを作成するコマンドの一連の呼び出しと非常によく似ています)。

答え3

iptables -S私のために動作します。サービスがダウンしても、すべてのアクティブなルールを一覧表示しているようです。

マニュアルページから:

-S, --list-rules [chain] 選択したチェーンのすべてのルールを印刷します。チェーンを選択しないと、すべてのチェーンがiptables-saveのように印刷されます。他のすべてのiptablesコマンドと同様に、指定されたテーブルに適用されます(デフォルトはフィルタです)。

答え4

あなたはそれを使用することができます:

# lsmod | grep ip_tables
ip_tables              13193  4 iptable_raw,iptable_mangle,iptable_nat,iptable_filter

すべてのテーブルを検索し、テーブル内の特定のルールを表示します。

関連情報