iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
これは、インターフェース ppp33 が 192.168.1.101:44447 の宛先へのすべての要求に対してネットワーク アドレス変換 (NAT) が設定されています。
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
このルールは、リクエストが 192.168.1.101 ホストに確実に転送されるようにすることで、前のルールを補完します。
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
このルールは、TCP パケットでのみ SYN フラグを検出すると、1 時間に 6 回まで「侵入」をログに記録することを示しています (Gilles さん、呼び出しに感謝します)。これは一般に、管理者がステルス ネットワーク スキャンを検出できるようにするために行われます。これは、ホストへのすべての tcp インバウンド用です。
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
これは上記と同じですが、このホストの NAT の背後にある他のホストに向けられたすべての TCP パケットに対して、何らかの変換を行っている可能性があります。
iptables -A INPUT -i ppp33 -j DROP
これはすべてを網羅するルールです。このホストを対象としていて、上記のルールを満たさない他のトラフィックが見られる場合は、接続をドロップしてください。
iptables -A FORWARD -i ppp33 -j DROP
前のルールと同じですが、このマシンが転送できる別のマシンに転送される可能性のあるものはすべて DROP 接続します。
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
ポート 44447 で PPP インターフェイス (つまり、インターネット側から) に送信された TCP パケットは、プライベート ネットワークの範囲内にある IP アドレス 192.168.1.101 に再送信されます。ルーターは NAT、具体的には DNAT を実行しています。これは、ルーターに接続することで、外部ホストがポート 44447 で 192.168.1.101 に到達できることを意味します。
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
この行は、インターネットから着信する TCP SYN パケット (接続を開始する (しようとする) パケット) をログに記録します。 PREROUTING ルールによって以前にリダイレクトされたものを除いて、そのようなすべてのパケットがログに記録されます。ただし、ロギングにはレート制限があります。1 時間のウィンドウ内でログに記録されるパケットは 6 つまでであり、後続のパケットは無視されます。
iptables -A INPUT -i ppp33 -j DROP
その他の着信パケットは、通知なしで破棄されます。
これらの接続試行をログに記録するのは、かなり退屈です。インターネットに接続されているすべてのマシンは、潜在的な脆弱性を探すさまざまなボットによって頻繁にスキャンされます。精査されたポート以外の着信接続をブロックする必要があります。ブロックされた接続試行のログから値を取得する可能性はほとんどありません。