Opensourcetechブログ(ZeusITCamp裏BLOG)

オープンソース技術 開発研究所による主にオープンソースに関するブログです。

CentOS6と7の差分対応 (iptables)

 

こんにちは、オープンソース技術 開発研究所鯨井貴博です音譜

  f:id:opensourcetech:20140811122503p:plain

 

今日は、CentOS6とCentOS7のiptablesの比較です。

 

まず、CentOS6では以下のように

INPUT/FORWARD/OUTPUTチェインが設定されております。

新規のSSH通信やICMPと関連通信(RELATED)、通信中(ESTABLISHED)が許可され、

それ以外は拒否(REJECT)されるというものです。

f:id:opensourcetech:20140720071137p:plain

 

 

 

一方、CentOS7ではパッと見、

やたらとルールが多いように見えますがよく見ると、

内容的にはCentOS6とそんなに変わりません。

 

最初にINPUTチェインですが、

関連通信(RELATED)、通信中(ESTABLISHED)、

INPUT_direct、INPUT_ZONES_SOURCE、INPUT_ZONES、

そしてICMP通信が許可、それ以外が拒否(REJECT)されています。

f:id:opensourcetech:20140720071351p:plain

また、INPUT_ZONESはIN_publicへ、

IN_publicは、IN_public_log・IN_public_deny・IN_public_allowと展開していきます。

IN_public_allowには、新規SSH通信が定義されています。

f:id:opensourcetech:20140720071902p:plain

 

 

OUTPUTチェインは、OUTPUT_diretへと展開されています。

※何もルールはありません。

f:id:opensourcetech:20140720071951p:plain

f:id:opensourcetech:20140720072001p:plain

 

 

FORWARDチェインは、

関連通信(RELATED)、通信中(ESTABLISHED)、

FORWARD_direct、FORWARD_IN_ZONES_SOURCE、FORWARD_IN_ZONES、

FORWARD_OUT_ZONES_SOURCE、FORWARD_OUT_ZONES、

ICMP通信の許可、それ以外が拒否(REJECT)されます。

f:id:opensourcetech:20140720072010p:plain

FORWARD_IN_ZONESは、

FWDI_publicからFWDI_public_log・FWDI_public_deny・FWDI_public_allow、

FORWARD_OUT_ZONESは、

FWDO_publicからFWDO_public_log・FWDO_public_deny・FWDO_public_allow、

 と展開されます。

f:id:opensourcetech:20140720071850p:plain

f:id:opensourcetech:20140720072022p:plain

 

 このように一見ルールがいっぱいあるように見えますが、

よく見ると設定内容としては変更されていないですね。

 

 

オープンソース技術 開発研究所

 f:id:opensourcetech:20140811122503p:plain

footerのテストです