iptables
規制をもっと詳しく見る方法はありますか?
最近、さまざまなIPに偽装を追加しました。
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
service iptables save
service iptables restart
これはすでに私が欲しいものを行いますが、
iptables -L
私が得た結果は、私が通常得たものと同じです。
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ルール(私が追加したルールを含む)を表示するにはどうすればよいですか? (システムはCentOS 6です)
答え1
-L
、オプションを使用して現在のファイアウォールルールを一覧表示する場合は、対応する--list
Netfilterテーブル(またはfilter
いずれnat
かmangle
)も指定する必要があります。したがって、テーブルにルールを追加する場合は、オプションを使用して明示的に指定する必要があります。raw
security
nat
-t
--table
iptables --table nat --list
またはオプションの省略形を使用します。
iptables -t nat -L
特定のテーブルを指定しないと、そのfilter
テーブルがプライマリテーブルとして使用されます。
-n
より高速な結果を得るには、ホスト名の代わりに数値IPアドレスを印刷するオプションを含む、リバース--numeric
DNSルックアップを待つ必要はありません。
-v
オプションを含めると、より多くの情報を得ることができます--verbose
。
答え2
iptables
filter
、および5つの異なるテーブルを制御nat
します。指定された呼び出しでは、オプション引数で指定されたテーブルの1つだけが表示または変更されます(デフォルトは)。ファイアウォールの全体的な状態を表示するには、各テーブルを順番に呼び出す必要があります。mangle
raw
security
iptables
-t
filter
iptables
また、ルールを正確に表現するには、optionsを渡す必要があります-v
。そうしないと、フィルタリングルールのインターフェイスなどのいくつかの重要な基準が出力から省略されます(たとえば、「すべてのアイテムを許可する」ルールと「ループバックインターフェイスのすべてのアイテムを許可する」ルールは区別するためにのみ使用できます-v
)。
したがって、必要なnetfilterルールの完全なデモを得るために
iptables -vL -t filter
iptables -vL -t nat
iptables -vL -t mangle
iptables -vL -t raw
iptables -vL -t security
あるいは、iptables-save
すべてのテーブルのすべてのルールを解析可能な形式で表示するプログラムを呼び出すこともできますiptables-restore
。この形式は人間が読むこともできます(iptables
テーブルを作成するコマンドの一連の呼び出しと非常によく似ています)。
答え3
iptables -S
私のために動作します。サービスがダウンしても、すべてのアクティブなルールを一覧表示しているようです。
マニュアルページから:
-S, --list-rules [chain] 選択したチェーンのすべてのルールを印刷します。チェーンを選択しないと、すべてのチェーンがiptables-saveのように印刷されます。他のすべてのiptablesコマンドと同様に、指定されたテーブルに適用されます(デフォルトはフィルタです)。
答え4
あなたはそれを使用することができます:
# lsmod | grep ip_tables
ip_tables 13193 4 iptable_raw,iptable_mangle,iptable_nat,iptable_filter
すべてのテーブルを検索し、テーブル内の特定のルールを表示します。