/etc/sysconfig/iptables を見てみる。
:INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT上記の記述を上から順に確認すると
- INPUTチェーンの定義
- FORWARDチェーンの定義
- OUTPUTチェーンの定義
- RH-Firewall-1-INPUTチェーンの定義
- INPUTチェーンに来たものはすべて無条件にRH-Firewall-1-INPUTチェーンへ転送する
- FORWARDチェーンに来たものはすべて無条件にRH-Firewall-1-INPUTチェーンへ転送する
つまり、これでINPUTとFORWARDがRH-Firewall-1-INPUTチェーンで束ねられたことになります。
さらに/etc/sysconfig/iptables を見ていくと、以下のようになっていると思います。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
これは、RH-Firewall-1-INPUTチェーン内のルール設定で、外部からの80番と8080番ポートへのアクセスを許可するように設定しています。
そして最後の行の
「-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited」
によって、RH-Firewall-1-INPUT チェーン内のどのルールにもマッチしなかったパケットは、icmp-host-prohibitedエラーを返すように設定しています。
つまり上記の場合、80番でも8080番でもない宛先ポートのパケットは全部エラーになるということになります。
0 件のコメント:
コメントを投稿