IPtables

Oskar Andreasson 氏著、 Tatsuya Nonogaki 氏訳のドキュメント。

Iptablesチュートリアル 1.2.2
http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/ipttut_all.html

原文
https://www.frozentux.net/


些か古い記述やCiscoかぶれな様子もあるが、開発者側の、詳細ですばらしく有用なWebコンテンツ。

ここで引き合いに出すのは無礼千万だが、このblogをはじめ、設定についてテメェの発想だけを書き散らかすだけのWebページやWebコンテンツはつくづくゴミ。1日も早く脱しなくてはと、意識をあらためさせられる。


言わずもがな、オッサンになって「なのらー！」なクソDQNでは、ゴミどころか公害、原発汚染物質並み。


話を戻して。Iptablesチュートリアルは通信の基本が丁寧に書かれているので、iptablesという"機能"の説明をはるかに超えている。ネットワーク系エンジニアも駆け出しに毛が生えた程度ではちょっと厳しいかも!?ぐらいの内容。これは、Linuxのテーマでなくても引用させていただくことがありそうだ。


さて、IPtablesの書式。基本の作法は

iptables [-t テーブル] コマンド [マッチ] [ターゲット/ジャンプ]

であるようだ。本来ならば詳細に踏み込みたいのだが時間がいくらあっても足りないので、ここでは当初のNTPを通す目的だけ。

/etc/sysconfig/iptables

を編集。エントリの末尾に、

-A INPUT -p udp --dport 123 -j ACCEPT

を追加してみる。結果は、ICMP Destination unreachable、Host Administratively prohibited は変わらず。ここで、ntp.conf中のアドレス記述の誤りに気づき修正。しかしこの誤りを修正しても結果は変わらない。はて!?

その後、iptablesの記述を変更。ntpについて末尾に記載するのではなく、ネットワーク機器のように適用順を考慮して記述。iptablesをリスタート、


[root@Alaudidae ~]# /etc/rc.d/init.d/iptables restart
iptables: チェインをポリシー ACCEPT へ設定中filter         [  OK  ]
iptables: ファイアウォールルールを消去中:                  [  OK  ]
iptables: モジュールを取り外し中:                          [  OK  ]
iptables: ファイアウォールルールを適用中:                  [  OK  ]
[root@Alaudidae ~]#



これで、Windows、ゲストOS(CentOS7)いずれも同期OK。ntp.conf中のアドレス制限の記述はあろうが無かろうが関係ない。また、Windowsはバージョン3、CentOS7はバージョン4だが、6.7のntpdはいずれもOKであるようだ。そもそも、ntpのようなシンプルなプロトコルにおいて、バージョン3と4とでどれほど違うのかだが。


まだまだ要修行。


追記:

引用のチュートリアル中、意味を全く知らなかったこの単語。

mangle
http://ejje.weblio.jp/content/mangle