Provided by: manpages-ja_0.5.0.0.20210215+dfsg-1_all bug

名前

       iptables/ip6tables — IPv4/IPv6 のパケットフィルタと NAT の管理ツール

書式

       iptables [-t table] {-A|-C|-D} chain rule-specification

       ip6tables [-t table] {-A|-C|-D} chain rule-specification

       iptables [-t table] -I chain [rulenum] rule-specification

       iptables [-t table] -R chain rulenum rule-specification

       iptables [-t table] -D chain rulenum

       iptables [-t table] -S [chain [rulenum]]

       iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

       iptables [-t table] -N chain

       iptables [-t table] -X [chain]

       iptables [-t table] -P chain target

       iptables [-t table] -E old-chain-name new-chain-name

       rule-specification = [matches...] [target]

       match = -m matchname [per-match-options]

       target = -j targetname [per-target-options]

説明

       iptablesip6tables は Linux カーネルの IPv4/IPv6 パケットフィルタルールのテーブルの設
       定・管理・検査に使用される。 複数の異なるテーブルを定義できる。 各テーブルには数個の組み込
       みチェインがあり、 さらにユーザー定義のチェインを加えることもできる。

       各チェインは、パケット群にマッチするルールのリストである。  各ルールはマッチしたパケットに
       対する処理を規定する。 パケットに対する処理は「ターゲット」と呼ばれ、 同じテーブル内のユー
       ザー定義チェインにジャンプすることもできる。

ターゲット

       ファイアウォールのルールでは、 パケットのマッチ条件とターゲットを指定する。 パケットがマッ
       チしない場合、 チェイン内の次のルールが評価される。 パケットがマッチした場合、  ターゲット
       の値によって次のルールが指定される。   ターゲットの値には、   ユーザー定義チェインの名前、
       iptables-extensions(8) に説明があるターゲットのいずれか、 もしくは特別な値  ACCEPT,  DROP,
       RETURN のいずれかを指定する。

       ACCEPT  はパケット通過、  DROP はパケット廃棄を意味する。  RETURN は、このチェインを辿るの
       を中止して、 前の (呼び出し元) チェインの次のルールから再開するという意味である。 組み込み
       チェインの最後に到達した場合、  または組み込みチェインでターゲット  RETURN  を持つルールに
       マッチした場合、  パケットをどのように処理するかは、そのチェインのポリシーで指定されたター
       ゲットにより決まる。

テーブル

       現在のところ 5 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネ
       ルの設定やどういったモジュールが存在するかに依存する)。

       -t, --table table
              このコマンドで操作するパケットマッチングテーブルを指定する。 カーネルで自動モジュー
              ルローディングが有効になっている場合、 そのテーブルで必要となるモジュールがまだロー
              ドされていなければ、 ロードされる。

              以下のテーブルがある。

              filter:
                  (-t オプションが指定されていない場合は)  このテーブルがデフォルトとなる。  この
                  テーブルには、  INPUT  (ローカルマシンのソケット宛のパケットに対するチェイン)、
                  FORWARD (マシンを経由して転送されるパケットに対するチェイン)、 OUTPUT (ローカル
                  マシンで生成されたパケットに対するチェイン) という組み込みチェインがある。

              nat:
                  このテーブルは新しい接続を開くパケットの場合に参照される。 PREROUTING (パケット
                  が入ってきた場合、すぐにそのパケットを変換するためのチェイン)、 OUTPUT  (ローカ
                  ルで生成されたパケットをルーティングの前に変換するためのチェイン)、 POSTROUTING
                  (パケットが出て行くときに変換するためのチェイン) という 3  つの組み込みチェイン
                  がある。 IPv6 NAT サポートはカーネル 3.7 以降で利用できる。

              mangle:
                  このテーブルは特別なパケット変換に使われる。  カーネル  2.4.17 までは、組み込み
                  チェインは PREROUTING (パケットが入ってきた場合、  すぐにそのパケットを変換する
                  ためのチェイン)、 OUTPUT (ローカルで生成されたパケットを ルーティングの前に変換
                  するためのチェイン) の 2 つであった。  カーネル  2.4.18  からは、これらに加えて
                  INPUT  (マシン自体に入ってくるパケットに対するチェイン)、 FORWARD (マシンを経由
                  するパケットに対するチェイン)、 POSTROUTING (パケットが出て行くときに変換するた
                  めのチェイン) の 3 つの組み込みチェインもサポートされている。

              raw:
                  このテーブルは、NOTRACK            ターゲットとの組み合わせで使用され、接続追跡
                  (connection tracking)  の対象外とする通信を設定するのに使われる。このテーブルは
                  netfilter  フックに優先度高で登録されているので、 ip_conntrack や他の IP テーブ
                  ルよりも前に呼ばれる。 このテーブルでは、 PREROUTING  (任意のネットワークインタ
                  フェースから到着するパケットに対するチェイン)、  OUTPUT (ローカルプロセスが生成
                  したパケットに対するチェイン) の 2 つの組み込みチェインが提供されている。

              security:
                  このテーブルは、強制アクセス制御 (Mandatory Access Control; MAC) のネットワーク
                  ルール用に使用される。 例えば、 SECMARKCONNSECMARK ターゲットにより有効にさ
                  れるルールなどである。 強制アクセス制御は、 SELinux などの Linux セキュリティモ
                  ジュールにより実装されている。 セキュリティテーブルは filter テーブルの後に呼ば
                  れる。 これにより、 強制アクセス制御のルールよりも前に、 filter  テーブルの任意
                  アクセス制御  (Discretionary  Access Control; DAC) のルールを適用することができ
                  る。  このテーブルでは、  INPUT   (マシン自体に入ってくるパケットに対するチェイ
                  ン)、  OUTPUT (ローカルマシンで生成されたパケットに対してルーティング前に変更を
                  行うためのチェイン)、  FORWARD  (マシンを経由して転送されるパケットに対してルー
                  ティング前に変更を行うためのチェイン)  の  3 つの組み込みチェインが提供されてい
                  る。

オプション

       iptablesip6tables で使えるオプションは、いくつかのグループに分けられる。

   コマンド
       これらのオプションは、実行したい動作を指定する。 以下の説明で注記されていない限り、 コマン
       ドラインで指定できるのはこの中の一つだけである。  長いバージョンのコマンド名とオプション名
       は、 iptables が他のコマンド名やオプション名と区別できる範囲で  (後ろの方の文字を省略して)
       指定することもできる。

       -A, --append chain rule-specification
              選択されたチェインの最後に  1 つ以上のルールを追加する。 送信元や送信先の名前の解決
              を行って、複数のアドレスに展開された場合は、 可能なアドレスの組合せそれぞれに対して
              ルールが追加される。

       -C, --check chain rule-specification
              指定したルールにマッチするルールが指定されたチェインにあるかを確認する。 このコマン
              ドでマッチするエントリを探すのに使用されるロジックは   -D    と同じだが、    既存の
              iptables 設定は変更されず、終了コードは成功、失敗を示すのに使用される。

       -D, --delete chain rule-specification
       -D, --delete chain rulenum
              選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方が
              ある: チェインの中の番号 (最初のルールを 1  とする)  を指定する場合と、  マッチする
              ルールを指定する場合である。

       -I, --insert chain [rulenum] rule-specification
              選択されたチェインにルール番号を指定して  1 つ以上のルールを挿入する。 ルール番号が
              1    の場合、ルールはチェインの先頭に挿入される。    ルール番号が指定されなかった場
              合、ルール番号のデフォルトは 1 となる。

       -R, --replace chain rulenum rule-specification
              選択されたチェインのルールを置き換える。 送信元や送信先の名前が複数のアドレスに展開
              された場合は、このコマンドは失敗する。 ルール番号は 1 からはじまる。

       -L, --list [chain]
              選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全
              てのチェインのリストが一覧表示される。 他のコマンドと同様に、指定されたテーブル (デ
              フォルトは filter) に対して作用する。 NAT ルールを表示するには以下のようにする。
               iptables -t nat -n -L
              DNS の逆引きを避けるために、 -n オプションと共に使用されることがよくある。 -Z (ゼロ
              クリア) オプションを同時に指定することもできる。 この場合、各チェインの表示とゼロク
              リアは同時に行われ、カウンタ値に抜けが発生することはない。 細かな出力内容は同時に指
              定された他の引き数により変化する。   以下のように  -v  オプションを指定しない限り、
              ルールの表示は一部省略されたものとなる。
               iptables -L -v

       -S, --list-rules [chain]
              選択されたチェインにある全てのルールを表示する。チェインが指定されない場合、
              iptables-save と同じく、 全てのチェインの情報が表示される。 他のコマンド同様、 指定
              されたテーブル (デフォルトは filter) に対して作用する。

       -F, --flush [chain]
              選択されたチェイン (何も指定されなければテーブル内の全てのチェイン)  の内容を全消去
              する。これは全てのルールを 1 個ずつ削除するのと同じである。

       -Z, --zero [chain [rulenum]]
              全てのチェインのパケットカウンタとバイトカウンタをゼロにする。 チェインやチェイン内
              のルールが指定された場合には、   指定されたチェインやルールのカウンタだけをゼロにす
              る。  クリアされる直前のカウンタを見るために、 -L, --list (一覧表示) オプションと同
              時に指定することもできる (上記を参照)。

       -N, --new-chain chain
              指定した名前のユーザー定義チェインを作成する。 同じ名前のターゲットが存在していては
              ならない。

       -X, --delete-chain [chain]
              指定したユーザー定義チェインを削除する。   そのチェインが参照されていてはならない。
              チェインを削除する前に、そのチェインを参照しているルールを削除するか、別のチェイン
              を参照するようにしなければならない。 チェインは空でなければならない、つまりチェイン
              にルールが登録されていてはいけない。   引き数が指定されなかった場合、テーブルにある
              チェインのうち組み込みチェイン以外のものを全て削除する。

       -P, --policy chain target
              チェインのポリシーを指定したターゲットに設定する。指定可能なターゲットは「ターゲッ
              」の章を参照すること。 (ユーザー定義ではない)  組み込みチェインにしかポリシーは設
              定できない。  また、ポリシーのターゲットに、 組み込みチェインやユーザー定義チェイン
              を設定することはできない。

       -E, --rename-chain old-chain new-chain
              ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブ
              ルの構造には何も影響しない。

       -h     ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。

   パラメータ
       以下のパラメータは  (add, delete, insert, replace, append コマンドで用いられて) ルールの仕
       様を決める。

       -4, --ipv4
              このオプションは iptables と iptables-restore では効果を持たない。 -4  オプションを
              使ったルールを  ip6tables-restore  で挿入された場合、(この場合に限り)  そのルールは
              黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使
              うと、  IPv4 と IPv6 の両方のルールを一つのルールファイルに記述し、iptables-restore
              と ip6tables-restore の両方でそのファイルを使うことができる。

       -6, --ipv6
              -6 オプションを使ったルールを  iptables-restore  で挿入された場合、(この場合に限り)
              そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオ
              プションを使うと、   IPv4   と   IPv6    の両方のルールを一つのルールファイルに記述
              し、iptables-restore  と ip6tables-restore の両方でそのファイルを使うことができる。
              このオプションは ip6tables と ip6tables-restore では効果を持たない。

       [!] -p, --protocol protocol
              ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプ
              ロトコルは、 tcp, udp, udplite, icmp, esp, ah, sctp と特別なキーワード all のいずれ
              か 1 つか、または数値である。  数値には、これらのプロトコルのどれか、またはそれ以外
              のプロトコルを表す数値を指定することができる。  /etc/protocols にあるプロトコル名も
              指定できる。 プロトコルの前に "!"  を置くと、そのプロトコルを除外するという意味にな
              る。  数値 0 は all と等しい。 "all" は全てのプロトコルとマッチし、このオプションが
              省略された際のデフォルトである。 ip6tables では、 esp 以外の IPv6  拡張ヘッダは指定
              できない点に注意。  espipv6-nonext はバージョン 2.6.11 以降のカーネルで使用でき
              る。 数値 0 は all と等しい。 これは、プロトコルフィールドが値 0 であるかを直接検査
              できないことを意味する。  HBH ヘッダとマッチさせるためには、 HBH ヘッダが例え最後に
              ある場合であっても、 -p 0 を使うことはできず、必ず -m hbh を使う必要がある。

       [!] -s, --source address[/mask][,...]
              送信元の指定。 address はホスト名、ネットワーク IP アドレス (/mask  を指定する)、通
              常の  IP アドレスのいずれかである。ホスト名の解決は、カーネルにルールが登録される前
              に一度だけ行われる。 DNS のようなリモートへの問い合わせで解決する名前を指定するのは
              非常に良くないことである。  mask  には、IPv4  ネットワークマスクか  (iptables  の場
              合)、ネットワークマスクの左側にある 1 の数を表す数値を指定する。つまり、 24  という
              iptables  の  mask  は  255.255.255.0  と同じである。 アドレス指定の前に "!" を置く
              と、そのアドレスを除外するという意味になる。 フラグ --src  は、このオプションの別名
              である。複数のアドレスを指定することができるが、その場合は (-A での追加であれば) 
              数のルールに展開され、 (-D での削除であれば) 複数のルールが削除されることになる。

       [!] -d, --destination address[/mask][,...]
              宛先の指定。 書式の詳しい説明については、 -s (送信元)  フラグの説明を参照すること。
              フラグ --dst は、このオプションの別名である。

       -m, --match match
              使用するマッチ、つまり、特定の通信を検査する拡張モジュールを指定する。 マッチの集合
              により、ターゲットが起動される条件が構築される。 マッチは先頭から末尾に向けてコマン
              ドラインで指定された順に評価され、  短絡式 (short-circuit fashion) の動作を行う、つ
              まり、いずれの拡張モジュールが偽 (false) を返した場合、そこで評価は終了する。

       -j, --jump target
              ルールのターゲット、 つまり、 パケットがマッチした場合にどうするかを指定する。 ター
              ゲットはユーザー定義チェイン (そのルール自身が入っているチェイン以外) でも、 パケッ
              トの行方を即時に決定する特別な組み込みターゲットでも、  拡張ターゲット  (以下の  「
              ターゲットの拡張」  を参照)  でもよい。  このオプションがルールの中で省略された場合
              (かつ -g が使用されなかった場合)、 ルールにマッチしてもパケットの行方に何も影響しな
              いが、 ルールのカウンタは 1 つ加算される。

       -g, --goto chain
              ユーザー定義チェインで処理を継続することを指定する。   --jump  オプションと異なり、
              return が行われた際にこのチェインでの処理は継続されず、 --jump でこのチェインを呼び
              出したチェインで処理が継続される。

       [!] -i, --in-interface name
              パケットが受信されたインターフェース名 (INPUT, FORWARD, PREROUTING チェインに入るパ
              ケットのみ)。 インターフェース名の前に "!" を置くと、  そのインターフェースを除外す
              るという意味になる。 インターフェース名が "+" で終っている場合、 その名前で始まる任
              意のインターフェース名にマッチする。  このオプションが省略された場合、   任意のイン
              ターフェース名にマッチする。

       [!] -o, --out-interface name
              パケットを送信することになるインターフェース名 (FORWARD, OUTPUT, POSTROUTING チェイ
              ンに入るパケットのみ)。 インターフェース名の前に "!" を置くと、  そのインターフェー
              スを除外するという意味になる。 インターフェース名が "+" で終っている場合、 その名前
              で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、  任
              意のインターフェース名にマッチする。

       [!] -f, --fragment
              IPv4 の分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照
              するルールであることを意味する。 このようなパケット (または ICMP  タイプのパケット)
              は  送信元ポートと宛先ポートを知る方法がないので、 送信元ポートや宛先ポートを指定す
              るようなルールにはマッチしない。 "-f" フラグの前に "!" を置くと、  分割されたパケッ
              トのうち最初のフラグメントか、  分割されていないパケットだけにマッチする。 このオプ
              ションは IPv4 固有であり、 ip6tables では利用できない。

       -c, --set-counters packets bytes
              このオプションを使うと、 (insert, append, replace 操作において)  管理者はパケットカ
              ウンタとバイトカウンタを 初期化することができる。

   その他のオプション
       その他に以下のオプションを指定することができる:

       -v, --verbose
              詳細な出力を行う。  list  コマンドの際に、  インターフェース名、 ルールのオプション
              (ある場合のみ)、 TOS マスクを表示させる。 パケットとバイトカウンタも表示される。 添
              字  'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す (これを変更
              する -x フラグも見よ)。 このオプションを append, insert, delete, replace コマンドに
              適用すると、 ルールについての詳細な情報を表示する。 -v は複数回指定することができ、
              数が多くなるとより多くのデバッグ情報が出力される。

       -w, --wait
              Wait for the xtables lock.  To prevent  multiple  instances  of  the  program  from
              running  concurrently,  an  attempt  will  be  made  to obtain an exclusive lock at
              launch.  By default, the program will exit if the lock cannot  be  obtained.   This
              option will make the program wait until the exclusive lock can be obtained.

       -n, --numeric
              数値による出力を行う。  IP アドレスやポート番号を数値によるフォーマットで表示する。
              デフォルトでは、iptables は (可能であれば) IP  アドレスやポート番号をホスト名、ネッ
              トワーク名、サービス名で表示しようとする。

       -x, --exact
              厳密な数値で表示する。  パケットカウンタとバイトカウンタを、  K  (1000 の何倍か)・M
              (1000K の何倍か)・G (1000M の何倍か) ではなく、 厳密な値で表示する。 このオプション
              は、 -L コマンドの場合のみ意味がある。

       --line-numbers
              ルールを一覧表示する際、 そのルールがチェインのどの位置にあるかを表す行番号を各行の
              始めに付加する。

       --modprobe=command
              チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで)  必
              要なモジュールをロードするために使う command を指定する。

マッチングとターゲットの拡張

       iptables                      は、パケットマッチングとターゲットの拡張を使うことができる。
       iptables-extensions(8) man ページに利用できる拡張のリストが載っている。

返り値

       いろいろなエラーメッセージが標準エラーに表示される。 正常に動作した場合、  終了コードは  0
       である。  不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返さ
       れる。 その他のエラーの場合は、 終了コード 1 が返される。

バグ

       バグ? 何それ?? ;-)  http://bugzilla.netfilter.org/ を覗いてみるといいだろう。

IPCHAINS との互換性

       iptables は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン INPUTOUTPUT が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパ
       ケットのみしか調べないという点である。 よって、 どのパケットも 3 つあるチェインのうち 1 つ
       しか通らない (ただし、 ループバックトラフィックだけは例外で、 INPUT と OUTPUT の両方のチェ
       インを通る)。 ipchains では、 フォワードされるパケットは 3 つのチェイン全てを通っていた。

       その他の大きな違いは、  -i  で入力インターフェース、  -o  で出力インターフェースを表わし、
       FORWARD チェインに入るパケットでは入出力両方のインターフェースが指定可能な点である。

       NAT  のいろいろな形式が分割された。 オプションの拡張モジュールと組み合わせて、デフォルトの
       「フィルタ」テーブルを用いた場合でも、 iptables は純粋なパケットフィルタとなる。  これによ
       り、 ipchains で見られた IP マスカレーディングとパケットフィルタリングの組み合せた場合に分
       かりにくかった点が分かりやすくなっている。  そのため、以下のオプションを指定した場合の動作
       は違ったものになっている。
        -j MASQ
        -M -S
        -M -L
       iptables では、その他にもいくつかの変更がある。

関連項目

       iptables-apply(8), iptables-save(8), iptables-restore(8), iptables-extensions(8),

       packet-filtering-HOWTO  では、パケットフィルタリングについての詳細な iptables の使用法が説
       明されている。 NAT-HOWTO には NAT について詳しい説明がある。 netfilter-extensions-HOWTO で
       は、   標準的な配布には含まれない拡張の詳細が説明されている。  netfilter-hacking-HOWTO  に
       は、内部構造についての詳細な説明がある。
       http://www.netfilter.org/ を参照。

作者

       Rusty Russell が最初に iptables を書いた。初期の段階での Michael Neuling  との議論の上で書
       かれた。

       Marc Boucher は Rusty に iptables の汎用的なパケット選択のフレームワークを使うように働きか
       けて、 ipnatctl を使わないようにした。そして、mangle テーブル、所有者マッチング、 mark  機
       能を書き、いたるところで使われている素晴らしいコードを書いた。

       James Morris は TOS ターゲットと tos マッチングを書いた。

       Jozsef Kadlecsik は REJECT ターゲットを書いた。

       Harald  Welte  は ULOG ターゲット、NFQUEUE ターゲット、新しい libiptc や TTL, DSCP, ECN の
       マッチ・ターゲットを書いた。

       Netfilter コアチームは、Martin Josefsson,  Yasuyuki  Kozakai,  Jozsef  Kadlecsik,  Patrick
       McHardy, James Morris, Pablo Neira Ayuso, Harald Welte, Rusty Russell である。

       man ページは元々 Herve Eychenne <rv@wallfire.org> が書いた。

バージョン

       この man ページは iptables/ip6tables 1.4.21 について説明している。