Q&A
Linuxのパケットフィルタリングでftpの通信を許可する時に設定する
ダイレクトルールについて質問です。
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス
--sport 21 (あ)-m conntrack (い)--ctstate ESTABLISHED -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス
--sport 21 (う)-m helper --helper ftp -m conntrack --ctstate RELATED,ESTABLISHED
-j ACCEPT
質問
・(あ)-m conntrack のコネクショントラッキングとはどういう意味ですか?
・(い)--ctstate ESTABLISHED のctstateとはどういう意味ですか?
普通のstateとどう違うんですか?
・(う)-m helper --helper ftp はどういう意味ですか?
よろしくお願いします。
回答1件
0
ベストアンサー
・(あ)-m conntrack のコネクショントラッキングとはどういう意味ですか?
入出力パケットの履歴(例えば TCP ならば Source IP:Port, Destination IP:Port, Flag)を一定時間、覚えておき、逆向きのパケット(応答)やその次のパケットと関連付けて制御することです。
・(い)--ctstate ESTABLISHED のctstateとはどういう意味ですか?
普通のstateとどう違うんですか?
マニュアル iptables-extensions(8) (man iptables-extensions) を参照ください。
state は ctstate のサブセットとのこと。
おそらく、state が先に実装されていて、上位互換の ctstate が後で実装されたのではないかと。
・(う)-m helper --helper ftp はどういう意味ですか?
詳しくはわかりませんが、FTP はセッションポート(TCP 21番)とデータポート(Active の場合 TCP 20番、Passive の場合は任意)が異なるので、それを関連付けるためのものだと思います。
(データポートを全許可するのではなく、--ctstate RELATED で絞り込む)
投稿2021/02/13 12:16
総合スコア12173
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/02/13 13:33