こんにちは、鯨井貴博@opensourcetechです。

 

今日は、CentOS6とCentOS7のiptablesの比較です。

 

まず、CentOS6では以下のように

INPUT/FORWARD/OUTPUTチェインが設定されております。

新規のSSH通信やICMPと関連通信(RELATED)、通信中(ESTABLISHED)が許可され、

それ以外は拒否(REJECT)されるというものです。

 

 

 

一方、CentOS7ではパッと見、

やたらとルールが多いように見えますがよく見ると、

内容的にはCentOS6とそんなに変わりません。

 

最初にINPUTチェインですが、

関連通信(RELATED)、通信中(ESTABLISHED)、

INPUT_direct、INPUT_ZONES_SOURCE、INPUT_ZONES、

そしてICMP通信が許可、それ以外が拒否(REJECT)されています。

また、INPUT_ZONESはIN_publicへ、

IN_publicは、IN_public_log・IN_public_deny・IN_public_allowと展開していきます。

IN_public_allowには、新規SSH通信が定義されています。

 

 

OUTPUTチェインは、OUTPUT_diretへと展開されています。

※何もルールはありません。

 

 

FORWARDチェインは、

関連通信(RELATED)、通信中(ESTABLISHED)、

FORWARD_direct、FORWARD_IN_ZONES_SOURCE、FORWARD_IN_ZONES、

FORWARD_OUT_ZONES_SOURCE、FORWARD_OUT_ZONES、

ICMP通信の許可、それ以外が拒否(REJECT)されます。

FORWARD_IN_ZONESは、

FWDI_publicからFWDI_public_log・FWDI_public_deny・FWDI_public_allow、

FORWARD_OUT_ZONESは、

FWDO_publicからFWDO_public_log・FWDO_public_deny・FWDO_public_allow、

 と展開されます。

 

 このように一見ルールがいっぱいあるように見えますが、

よく見ると設定内容としては変更されていないですね。