iptables - システム管理コマンドの説明 - Linux コマンド集 一覧表

これらのオプションは、実行する特定の動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の 1 つだけである。 長いバージョンのコマンド名とオプション名は、 iptables が他のコマンド名やオプション名と区別できる範囲で (文字を省略して) 指定することもできる。

-A, --append チェイン ルールの詳細

選択されたチェインの最後に 1 つ以上のルールを追加する。 送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、 可能なアドレスの組合せそれぞれに対してルールが追加される。

-D, --delete チェイン ルールの詳細

-D, --delete チェイン ルール番号

選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、 マッチするルールを指定する場合である。

-I, --insert チェイン [ルール番号 ] ルールの詳細

選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。 これはルール番号が指定されない場合のデフォルトでもある。

-R, --replace チェイン ルール番号 ルールの詳細

選択されたチェインでルールを置換する。 送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、 このコマンドは失敗する。ルール番号は 1 からはじまる。

-L, --list [チェイン ]

選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。 他の各 iptables コマンドと同様に、指定されたテーブル (デフォルトは filter) に対して作用する。 よって NAT ルールを表示するには以下のようにする。

 iptables -t nat -n -L

DNSの逆引きを避けるために、よく -n オプションと共に使用される。 -Z (ゼロ化) オプションを同時に指定することもできる。 この場合、チェインは要素毎にリストされて、 (訳註: パケットカウンタとバイトカウンタが) ゼロにされる。 出力表示は同時に与えられた他の引き数に影響される。

 iptables -L -v

を使わない限り (訳注: -v オプションを指定しない限り)、 実際のルールそのものは表示されない。

-F, --flush [チェイン ]

選択されたチェイン(何も指定しなければテーブル内の全てのチェイン) の内容を全消去する。 これは全てのルールを 1 個ずつ削除するのと同じである。

-Z, --zero [チェイン ]

すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。 クリアされる直前のカウンタを見るために、 "-L, --list" (一覧表示) オプションと同時に指定することもできる (上記を参照)。

-N, --new-chain チェイン

指定した名前でユーザー定義チェインを作成する。 同じ名前のターゲットが既に存在してはならない。

-X, --delete-chain [チェイン ]

指定したユーザー定義チェインを削除する。 そのチェインが参照されていてはならない。 チェインを削除する前に、そのチェインを参照しているルールを 削除するか置き換えるかしなければならない。 引き数が与えられない場合、テーブルにあるチェインのうち 組み込み済みチェインでないものを全て削除する。

-P, --policy チェイン ターゲット

チェインのポリシーを、指定したターゲットに設定する。 指定可能なターゲットは「ターゲット 」の章を参照すること。 (ユーザー定義ではない)組み込み済みチェインにしかポリシーは設定できない。 また、組み込み済みチェインもユーザー定義チェインも ポリシーのターゲットに設定することはできない。

-E, --rename-chain 旧チェイン名 新チェイン名

ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。

-h

ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。

以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。

-p, --protocol [!] protocol

ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 tcp , udp , icmp , all のいずれか 1 つか、数値である。 数値には、これらのプロトコルのどれかないし別のプロトコルを表す 数値を指定することができる。 /etc/protocols にあるプロトコル名も指定できる。 プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0 は all と等しい。 プロトコル all は全てのプロトコルとマッチし、 このオプションが省略された際のデフォルトである。

-s, --source [!] address [/mask ]

送信元の指定。 address はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くない) ・ネットワーク IP アドレス (/mask を指定する)・ 通常の IP アドレス、のいずれかである。 mask はネットワークマスクか、 ネットワークマスクの左側にある 1 の数を指定する数値である。 つまり、 24 という mask は 255.255.255.0 に等しい。 アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ --src は、このオプションの別名である。

-d, --destination [!] address [/mask ]

送信先の指定。 書式の詳しい説明については、 -s (送信元) フラグの説明を参照すること。 フラグ --dst は、このオプションの別名である。

-j, --jump target

ルールのターゲット、つまり、 パケットがマッチした場合にどうするかを指定する。 ターゲットはユーザー定義チェイン (そのルール自身が入っているチェイン以外) でも、 パケットの行方を即時に決定する特別な組み込み済みターゲットでも、 拡張されたターゲット (以下の 「 ターゲットの拡張 」を参照) でもよい。 このオプションがルールに指定されなかった場合は、 ルールにマッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ加算される。

-i, --in-interface [!] name

パケットを受信することになるインターフェース名 ( INPUT , FORWARD , PREROUTING チェインに入るパケットのみ)。 インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。

-o, --out-interface [!] name

パケットを送信することになるインターフェース名 ( FORWARD , OUTPUT , POSTROUTING チェインに入るパケットのみ)。 インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。

"[!] " "-f, --fragment"

このオプションは、分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。 このようなパケット (または ICMP タイプのパケット) は 送信元・送信先ポートを知る方法がないので、 送信元や送信先を指定するようなルールにはマッチしない。 "-f" フラグの前に "!" を置くと、 分割されたパケットのうち最初のものか、 分割されていないパケットだけにマッチする。

-c, --set-counters PKTS BYTES

このオプションを使うと、 ( insert , append , replace 操作において) 管理者はパケットカウンタとバイトカウンタを 初期化することができる。

その他に以下のオプションを指定することができる:

"-v, --verbose"

詳細な出力を行う。 list コマンドの際に、インターフェース名・ (もしあれば) ルールのオプション・TOS マスクを表示させる。 パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す (これを変更する -x フラグも見よ)。 このオプションを append, insert, delete, replace コマンドに適用すると、 ルールについての詳細な情報を表示する。

"-n, --numeric"

数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマットで表示する。 デフォルトでは、iptables は (可能であれば) これらの情報を ホスト名・ネットワーク名・サービス名で表示しようとする。

"-x, --exact"

厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、 厳密な値で表示する。 このオプションは、 -L コマンドとしか関係しない。

"--line-numbers"

ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す 行番号を各行の始めに付加する。

"--modprobe=command"

チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う command を指定する。

このモジュールは IPSec パケットの AH ヘッダーの SPI 値にマッチする。

--ahspi [!] spi [:spi ]

このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 "state" マッチよりもさらに多くの、 パケットについての接続追跡状態を知ることができる (この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合 にのみ、このモジュールは存在する)。

--ctstate state

state は、マッチング対象となる、コンマ区切りの接続状態リストである。 指定可能な state は以下の通り。 INVALID :メモリを使い果たした為や、 既知の接続とは対応しない ICMP エラーなど、 何らかの理由によりパケットが識別できない。 ESTABLISHED :このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 NEW :このパケットが新しい接続を開始したか、 双方向にはパケットがやり取りされていない接続に属するパケットである。 RELATED :このパケットが新しい接続を開始しているが、 FTP データ転送や ICMP エラーのように、既存の接続に関係している。 SNAT :仮想的な状態であり、書き換え前の送信元アドレスが応答の宛先アドレスと 異なる場合にマッチする。 DNAT :仮想的な状態であり、書き換え前の宛先アドレスが応答の送信元アドレスと 異なる場合にマッチする。

--ctproto proto

(名前または数値で) 指定されたプロトコルにマッチする。

--ctorigsrc [!] address [/mask ]

書き換え前の送信元アドレスにマッチする。

--ctorigdst [!] address [/mask ]

書き換え前の宛先アドレスにマッチする。

--ctreplsrc [!] address [/mask ]

応答の送信元アドレスにマッチする。

--ctrepldst [!] address[/mask ]

応答の宛先アドレスにマッチする。

--ctstatus [NONE|EXPECTED|SEEN_REPLY|ASSURED ][,...]

接続追跡の内部的な状態にマッチする。

--ctexpire time [:time ]

有効期間の残り秒数、またはその範囲(両端を含む)にマッチする。

このモジュールは、IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチする。 IETF では DSCP が TOS に取って代わった。

--dscp value

(10 進または 16 進の) 数値 [0-32] にマッチする。

--dscp-class DiffServ Class

DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 これらは、対応する数値で指定するのと同じである。

このモジュールは IPSec パケットの ESP ヘッダーの SPI 値にマッチする。

--espspi [!] spi [:spi ]

このモジュールは、指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。

--helper string

指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。

デフォルトのポートを使った ftp-セッションに関連するパケットでは、 string に "ftp" と書ける。 他のポートでは "-ポート番号" を値に付け加える。 すなわち "ftp-2121" となる。

他の接続追跡ヘルパーでも同じルールが適用される。

この拡張は `--protocol icmp' が指定された場合にロードされ、 以下のオプションが提供される:

--icmp-type [!] typename

数値の ICMP タイプ、またはコマンド

 iptables -p icmp -h

で表示される ICMP タイプ名を指定できる。

このモジュールは、指定されたパケット長、またはその範囲にマッチする。

--length length [:length ]

このモジュールは、トークンバケツフィルタを使い、 単位時間あたり制限された回数だけマッチする。 この拡張を使ったルールは、(`!' フラグが指定されない限り) 制限に達するまでマッチする。 このモジュールは例えば、ログ記録を制限するために LOG ターゲットと組み合わせて使うことができる。

--limit rate

単位時間あたりの平均マッチ回数の最大値。 数値で指定され、添字 `/second', `/minute', `/hour', `/day' を付けることもできる。 デフォルトは 3/hour である。

--limit-burst number

パケットがマッチする回数の最大初期値: マッチ回数の最大値は、 上のオプションで指定した制限に達しなければ、 その度ごとに、この数値になるまで 1 個ずつ増やされる。 デフォルトは 5 である。

--mac-source [!] address

送信元 MAC アドレスにマッチする。 address は XX:XX:XX:XX:XX:XX という形式でなければならない。 イーサーネットデバイスから入ってくるパケットで、 PREROUTING , FORWARD , INPUT チェインに入るパケットにしか意味がない。

このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、以下の MARK ターゲットで設定される)。

--mark value [/mask ]

指定された符号なし mark 値のパケットにマッチする (mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。

このモジュールは送信元や送信先のポートの集合にマッチする。 ポートは 15 個まで指定できる。 このモジュールは "-p tcp" または "-p udp" と組み合わせて使うことしかできない。

--source-ports port [,port [,port ...]]

送信元ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ --sports は、このオプションの便利な別名である。

--destination-ports port [,port [,port ...]]

宛先ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ --dports は、このオプションの便利な別名である。

--ports port [,port [,port ...]]

送信元ポートと宛先ポートが等しく、 かつそのポートが指定されたポートのうちのいずれかであればマッチする。

このモジュールは、ローカルで生成されたパケットに付いて、 パケット生成者のいろいろな特性に対してマッチを行う。 これは OUTPUT チェインのみでしか有効でない。 また、(ICMP ping 応答のような) パケットは、 所有者がいないので絶対にマッチしない。

--uid-owner userid

指定された実効ユーザー ID のプロセスにより パケットが生成されている場合にマッチする。

--gid-owner groupid

指定された実効グループ ID のプロセスにより パケットが生成されている場合にマッチする。

--pid-owner processid

指定されたプロセス ID のプロセスにより パケットが生成されている場合にマッチする。

--sid-owner sessionid

指定されたセッショングループのプロセスにより パケットが生成されている場合にマッチする。

--cmd-owner name

指定されたコマンド名を持つプロセスにより パケットが生成されている場合にマッチする (この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合 にのみ、このモジュールは存在する)。

このモジュールは、ブリッジデバイスのスレーブにされた、 ブリッジポートの入出力デバイスにマッチする。 このモジュールは、ブリッジによる透過的な IP ファイアウォールの基盤の一部であり、 カーネルバージョン 2.5.44 以降でのみ有効である。

--physdev-in name

パケットが受信されるブリッジのポート名 ( INPUT , FORWARD , PREROUTING チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 ブリッジデバイスを通して受け取られなかったパケットは、 '!' が指定されていない限り、このオプションにマッチしない。

--physdev-out name

パケットを送信することになるブリッジのポート名 ( FORWARD , OUTPUT , POSTROUTING チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 nat と mangle テーブルの OUTPUT チェインではブリッジの出力ポートにマッチさせることができないが、 filter テーブルの OUPUT チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、 '!' が指定されていない限り、パケットはこのオプションにマッチしない。

--physdev-is-in

パケットがブリッジインターフェースに入った場合にマッチする。

--physdev-is-out

パケットがブリッジインターフェースから出ようとした場合にマッチする。

--physdev-is-bridged

パケットがブリッジされることにより、 ルーティングされなかった場合にマッチする。 これは FORWARD, POSTROUTING チェインにおいてのみ役立つ。

このモジュールは、リンク層のパケットタイプにマッチする。

--pkt-type [unicast |broadcast |multicast ]

このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 パケットについての接続追跡状態を知ることができる。

--state state

state は、マッチングを行うための、コンマで区切られた接続状態のリストである。 指定可能な state は以下の通り。 INVALID :このパケットは既知の接続と関係していない。 ESTABLISHED :このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 NEW :このパケットが新しい接続を開始したか、 双方向にはパケットがやり取りされていない接続に属するパケットである。 RELATED :このパケットが新しい接続を開始しているが、 FTP データ転送や ICMP エラーのように、既存の接続に関係している。

これらの拡張は `--protocol tcp' が指定され場合にロードされ、 以下のオプションが提供される:

--source-port [!] port [:port ]

送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定できる。 port : port という形式で、2 つの番号を含む範囲を指定することもできる。 最初のポートを省略した場合、"0" を仮定する。 最後のポートを省略した場合、"65535" を仮定する。 最初のポートが最後のポートより大きい場合、2 つは入れ換えられる。 フラグ --sport は、このオプションの便利な別名である。

--destination-port [!] port [:port ]

送信先ポートまたはポート範囲の指定。 フラグ --dport は、このオプションの便利な別名である。

--tcp-flags [!] mask comp

TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数は評価対象とするフラグで、コンマ区切りのリストである。 第 2 引き数はこのうち設定されていなければならないフラグで、 コンマ区切りのリストである。 指定できるフラグは "SYN ACK FIN RST URG PSH ALL NONE" である。 よって、コマンド

 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN

は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。

"[!] --syn"

SYN ビットが設定され ACK と RST ビットがクリアされている TCP パケットにのみマッチする。 このようなパケットは TCP 接続の開始要求に使われる。 例えば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、 内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。 これは --tcp-flags SYN,RST,ACK SYN と等しい。 "--syn" の前に "!" フラグを置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている TCP パケットにのみマッチする。

--tcp-option [!] number

TCP オプションが設定されている場合にマッチする。

--mss value [:value ]

指定された MSS 値 (の範囲) を持つ TCP の SYN または SYN/ACK パケットにマッチする。 MSS は接続に対するパケットの最大サイズを制御する。

このモジュールは IP ヘッダーの 8 ビットの (つまり上位ビットを含む) Type of Service フィールドにマッチする。

--tos tos

引き数は、マッチを行う標準的な名前でも数値でもよい (名前のリストを見るには

 iptables -m tos -h

を使うこと)。

このモジュールは IP ヘッダーの time to live フィールドにマッチする。

--ttl ttl

指定された TTL 値にマッチする。

これらの拡張は `--protocol udp' が指定された場合にロードされ、 以下のオプションが提供される:

--source-port [!] port [:port ]

送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の --source-port オプションの説明を参照すること。

--destination-port [!] port [:port ]

送信先ポートまたはポート範囲の指定。 詳細は TCP 拡張の --destination-port オプションの説明を参照すること。

このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。

このターゲットは nat テーブルの PREROUTING , OUTPUT チェイン、これらのチェインから呼び出される ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信先アドレスを修正する (この接続の以降のパケットも修正して分からなく (mangle) する)。 さらに、ルールによるチェックを止めさせる。 このターゲットにはオプションが 1 種類ある:

--to-destination ipaddr [-ipaddr ][:port -port ]

1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (これはルールで "-p tcp" または "-p udp" を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、送信先ポートは変更されない。

複数の --to-destination オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の --to-destination オプションによって 2 つ以上の送信先アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。

このターゲットは、IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、mangle テーブルでのみ使用できる。

--set-dscp value

DSCP フィールドの数値を設定する (10 進または 16 進)。

--set-dscp-class class

DSCP フィールドの DiffServ クラスを設定する。

このターゲットは ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用できる。

--ecn-tcp-remove

TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 "-p tcp" オプションとの組合わせでのみ使用できる。

マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての (大部分の IP ヘッダーフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは dmesg または syslogd (8)で見ることができる)。 これは "非終了ターゲット" である。 すなわち、ルールの検討は、次のルールへと継続される。 よって、拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 次のルールで DROP (または REJECT) ターゲットを指定する。

--log-level level

ログ記録のレベル (数値て指定するか、 (訳註: 名前で指定する場合は) syslog.conf (5) を参照すること)。

--log-prefix prefix

指定したプレフィックスをログメッセージの前に付ける。 プレフィックスは 29 文字までの長さで、 ログの中でメッセージを区別するのに役立つ。

--log-tcp-sequence

TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、セキュリティ上の危険がある。

--log-tcp-options

TCP パケットヘッダーのオプションをログに記録する。

--log-ip-options

IP パケットヘッダーのオプションをログに記録する。

パケットに関連づけられた netfilter の mark 値を設定する。 mangle テーブルのみで有効である。 例えば、iproute2 と組み合わせて使うことができる。

--set-mark mark

このターゲットは nat テーブルの POSTROUTING チェインのみで有効である。 動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。 固定 IP アドレスならば、SNAT ターゲットを使うべきである。 マスカレーディングは、パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、 インターフェースが停止した場合に接続を忘れる という効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い (そのため、前回確立された接続は失われる) 場合、 この動作は正しい。 このターゲットにはオプションが 1 つある。

--to-ports port [-port ]

このオプションは、使用する送信元ポートの範囲を指定し、 デフォルトの SNAT 送信元ポートの選択方法 (上記) よりも優先される。 ルールが "-p tcp" または "-p udp" を指定している場合にのみ有効である。

実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と送信先フィールドを入れ換え、 パケットを再送信するものである。 これは INPUT , FORWARD , PREROUTING チェインと、これらのチェインから呼び出される ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、外部に送られるパケットは いかなるパケットフィルタリングチェイン・接続追跡・NAT からも 監視されない 。

このターゲットは、 nat テーブル内の PREROUTING チェイン及び OUTPUT チェイン、そしてこれらチェインから呼び出される ユーザー定義チェインでのみ有効である。 このターゲットはパケットの送信先 IP アドレスを マシン自身の IP アドレスに変換する。 (ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。 このターゲットにはオプションが 1 つある:

--to-ports port [-port ]

このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、送信先ポートは変更されない。 ルールが "-p tcp" または "-p udp" を指定している場合にのみ有効である。

マッチしたパケットの応答としてエラーパケットを送信するために使われる。 エラーパケットを送らなければ、 DROP と同じであり、TARGET を終了し、ルールの検討を終了する。 このターゲットは、 INPUT , FORWARD , OUTPUT チェインと、これらのチェインから呼ばれる ユーザー定義チェインだけで有効である。 以下のオプションは、返されるエラーパケットの特性を制御する。

--reject-with type

type として指定可能なものは

" icmp-net-unreachable"
" icmp-host-unreachable"
" icmp-port-unreachable"
" icmp-proto-unreachable"
" icmp-net-prohibited"
" icmp-host-prohibited or"
" icmp-admin-prohibited (*)"

であり、適切な ICMP エラーメッセージを返す ( port-unreachable がデフォルトである)。 TCP プロトコルにのみマッチするルールに対して、オプション tcp-reset を使うことができる。 このオプションを使うと、TCP RST パケットが送り返される。 主として ident (113/tcp) による探査を阻止するのに役立つ。 ident による探査は、壊れている (メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。

(*) icmp-admin-prohibited をサポートしないカーネルで、 icmp-admin-prohibited を使用すると、 REJECT ではなく単なる DROP になる。

このターゲットは nat テーブルの POSTROUTING チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正させる (この接続の以降のパケットも修正して分からなく (mangle) する)。 さらに、ルールが評価を中止するように指示する。 このターゲットにはオプションが 1 種類ある:

--to-source ipaddr [-ipaddr ][:port -port ]

1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (ルールが "-p tcp" または "-p udp" を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、 512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。 それ以外のポートは、1024 以上のポートにマッピングされる。 可能であれば、ポートの変換は起こらない。

複数の --to-source オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の --to-source オプションによって 2 つ以上の送信元アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。

このターゲットを用いると、TCP の SYN パケットの MSS 値を書き換え、 そのコネクションの最大サイズ (通常は、送信インターフェースの MTU から 40 引いた値) を制御できる。 もちろん "-p tcp" と組み合わせてしか使えない。

このターゲットは犯罪的に頭のいかれた ISP や ICMP Fragmentation Needed パケットをブロックしてしまうサーバーを 乗り越えるために使用する。 Linux ファイアウォール/ルーターでは何も問題がないのに、 そこにぶら下がるマシンでは以下のように大きなパケットを やりとりできないというのが、この問題の兆候である。

1)

ウェブ・ブラウザで接続が、何のデータも受け取らずにハングする

2)

短いメールは問題ないが、長いメールがハングする

3)

ssh は問題ないが、scp は最初のハンドシェーク後にハングする
回避方法: このオプションを有効にし、以下のようなルールを ファイアウォールの設定に追加する。

 iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
             -j TCPMSS --clamp-mss-to-pmtu

--set-mss value

MSS オプションの値を指定した値に設定する。

"--clamp-mss-to-pmtu"

自動的に、MSS 値を (path_MTU - 40) に強制する。

これらのオプションはどちらか 1 つしか指定できない。

IP ヘッダーの 8 ビットの Type of Service フィールドを設定するために使われる。 mangle テーブルのみで有効である。

--set-tos tos

TOS を番号で指定することができる。 また、

 iptables -j TOS -h

を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。

このターゲットは、マッチしたパケットを ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、そのパケットを netlink ソケットを用いてマルチキャストする。 そして、1 つ以上のユーザー空間プロセスが いろいろなマルチキャストグループに登録をおこない、 パケットを受信する。 LOG と同様、これは "非終了ターゲット" であり、 ルールの検討は次のルールへと継続される。

--ulog-nlgroup nlgroup

パケットを送信する netlink グループ (1-32) を指定する。 デフォルトの値は 1 である。

--ulog-prefix prefix

指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログの中でメッセージを区別するのに便利である。

--ulog-cprange size

ユーザー空間にコピーするパケットのバイト数。 値が 0 の場合、サイズに関係なく全パケットをコピーする。 デフォルトは 0 である。

--ulog-qthreshold size

カーネル内部のキューに入れられるパケットの数。 例えば、この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。