こんにちは、鯨井貴博@opensourcetechです。
今日は、CentOS6とCentOS7のiptablesの比較です。
まず、CentOS6では以下のように
INPUT/FORWARD/OUTPUTチェインが設定されております。
新規のSSH通信やICMPと関連通信(RELATED)、通信中(ESTABLISHED)が許可され、
それ以外は拒否(REJECT)されるというものです。
一方、CentOS7ではパッと見、
やたらとルールが多いように見えますがよく見ると、
内容的にはCentOS6とそんなに変わりません。
最初にINPUTチェインですが、
関連通信(RELATED)、通信中(ESTABLISHED)、
INPUT_direct、INPUT_ZONES_SOURCE、INPUT_ZONES、
そしてICMP通信が許可、それ以外が拒否(REJECT)されています。
また、INPUT_ZONESはIN_publicへ、
IN_publicは、IN_public_log・IN_public_deny・IN_public_allowと展開していきます。
IN_public_allowには、新規SSH通信が定義されています。
OUTPUTチェインは、OUTPUT_diretへと展開されています。
※何もルールはありません。
FORWARDチェインは、
関連通信(RELATED)、通信中(ESTABLISHED)、
FORWARD_direct、FORWARD_IN_ZONES_SOURCE、FORWARD_IN_ZONES、
FORWARD_OUT_ZONES_SOURCE、FORWARD_OUT_ZONES、
ICMP通信の許可、それ以外が拒否(REJECT)されます。
FORWARD_IN_ZONESは、
FWDI_publicからFWDI_public_log・FWDI_public_deny・FWDI_public_allow、
FORWARD_OUT_ZONESは、
FWDO_publicからFWDO_public_log・FWDO_public_deny・FWDO_public_allow、
と展開されます。
このように一見ルールがいっぱいあるように見えますが、
よく見ると設定内容としては変更されていないですね。