System-config-firewallによって記述されたファイアウォール構成
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
マニュアル によると、これはtcp
iptablesモジュールの異常ではありますが無害な明示的な呼び出しです。このモジュールは、-p tcp
(TCPプロトコル)が指定されており、-p tcp
はとにかく指定されていますが、どうやらsystem-config-firewallのルールジェネレーターを書いた人なら誰でも、ベルトとサスペンダーの信頼性理論を信じていました。
Iptablesマニュアルページから:
-m, --match match
使用する一致、つまり特定のプロパティをテストする拡張モジュールを指定します。一致のセットは、ターゲットが呼び出される条件を構成します。一致は、コマンドラインで指定されたとおりに最初から最後まで評価され、ショートサーキット方式で機能します。つまり、1つの拡張がfalseの場合、評価は停止します。
この場合、TCP match
が使用されています。
TCPの一致
これらの一致はプロトコル固有であり、TCPパケットおよびストリームを使用している場合にのみ使用できます。これらの一致を使用するには、使用する前にコマンドラインで--protocol tcp
を指定する必要があります。 --protocol tcp
の一致は、プロトコル固有の一致の左側にある必要があることに注意してください。これらの一致は、UDPおよびICMPの一致が暗黙的に読み込まれるのと同じ意味で、暗黙的に読み込まれます。その他の一致は、継続で調べられますこのセクションのTCP一致セクションの後。