このノートでは、iptablesでのREDIRECTの効果、その制限、および範囲について説明します。
iptablesとリダイレクト
REDIRECTアクションは、ホストを離れることなく 、同じシステム内で1セットのポートから別のポートにパケットをリダイレクトするように設計されています 。
REDIRECTは、natテーブルのPREROUTINGおよびOUTPUTチェーンでのみ機能します。 したがって、スコープは1つのポートから別のポートへのリダイレクトにのみ縮小されます。 ほとんどの場合、これは、ローカルネットワークのクライアントがポート80に接続し、ゲートウェイがパケットをローカルプロキシポートにリダイレクトするときに、透過プロキシに使用されます。
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
ケース
デーモンの設定を変更せずに、iptablesを使用してリダイレクトすることによってのみアプリケーションポートを変更する必要があるとします。 新しいポートを5555、アプリケーションポート22とします。したがって、ポート5555から22にリダイレクトする必要があります。
リダイレクトおよびリモートクライアント
最初のステップは明白であり、上記の例と同じです。
iptables -t nat -A PREROUTING -p tcp --dport 5555 -j REDIRECT --to-port 22
ただし、ルールは外部クライアントに対してのみ機能し、アプリケーションポートが開いている場合にのみ機能します。
リダイレクトおよびローカルクライアント
iptablesを使用したホスト自体の以前のルールは機能しません。 localhostを含むパケットは、natテーブルに分類されません。 ケースをローカルマシンで動作させるには、natテーブルのOUTPUTチェーンにリダイレクトを追加する必要があります。
iptables -t nat -A OUTPUT -p tcp -s 127.0.0.1 --dport 5555 -j REDIRECT --to-ports 22
これで、ローカルクライアントもポート5555経由で接続できます。
リダイレクトおよびプライベートポート
この場合の意味は、左ポートを使用し、アプリケーションポートを閉じたままにすることですが、ポート22のINPUTチェーンでDROPルールを実行すると、5555も応答を停止します。 実際、トリックはINPUTチェーンでアプリケーションポートを開き、マングルでドロップすることです。
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j DROP
ルールの完全なセット
アプリケーションポートが閉じられている場合、ネットワークおよびローカルアクセスでリダイレクトします。
iptables -t nat -A PREROUTING -p tcp --dport 5555 -j REDIRECT --to-port 22 iptables -t nat -A OUTPUT -p tcp -s 127.0.0.1 --dport 5555 -j REDIRECT --to-ports 22 iptables -A INPUT -p tcp --dport 5555 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -t mangle -A PREROUTING -p tcp --dport 22 -j DROP iptables -P INPUT DROP