ポリシーに基づくトラフィックフィルタリングの効果
どんなファイアウォールを利用しても、その効果はルールセット次第だ。iptablesのルールは概してわかりやすい。たとえば、次のように記述する。
iptables -A INPUT -m state -p tcp --dport 80 -s 192.168.5.0/24 --state NEW,ESTABLISHED,RELATED -j ACCEPT
このコマンドは、入力(ファイアウォールを構築したマシンの着信トラフィック用)ルールを追加(-A)するものだ。ルールの内容は、サブネット192.168.5.0からポート80(Webトラフィック用)に届いたトラフィックの接続状態(-m)を参照してNEW(新規)、ESTABLISHED(接続済み)、またはRELATED(関連)のトラフィックがないかチェックする、というものになっている。また、破棄したパケットのログを取るには(実際にそうすべきだが)、ログ処理用にDROPルールとREJECTルールを1つずつ作成する必要がある。
不正な形式のパケット(つまり、SYNスキャンの一部となるパケット)は、TCPヘッダのフラグだけをチェックするルールによって簡単にブロックできる。fwsnortといったほかのツールを使えば、明らかに悪意のあるトラフィックをブロックするためのもっと詳細なパケット検査が可能になる。fwsnortはSnortのルールをiptablesのルールに変換してくれる。こうして変換されたルールにより、IPS(Intrusion Prevention System:侵入防御システム)機能の一部がiptablesに組み込まれる。ただし、iptablesでは、悪意あるネット空間からの全トラフィックを遮断するIPアドレスのブラックリストを簡単に追加できる。iptablesのルール記述の規則に慣れ、IPヘッダの基本知識を覚えれば、新しいルールがたやすく書けるようになる。