iptablesでポートフォワーディングの周りに頭を包みます

Question

正直なところ、私は何が起こっているのか分かります。私は規則を入力し、特定のフィルタで転送する必要があります。しかし、私は2つ、3つのルールが必要ですか？なぜいくつかの人々はFORWARDと他も同じようにOUTをやっていますが、さらにいくつかの人はINです。 SYN、ESTABLISHED、RELATEDの個別のルールが必要ですか？ conntrackは別パッケージですか？ 1人のガイドはなぜ-t natで、他のすべてのガイドはそうしないのですか？

誰もがコピー可能なガイド&を配布していますが、実際に解決策として提供していることや、読者の設定（驚き）が100％同じではない場合、 。

私は基本的に達成したいことは次のとおりです。

• は*上の皆様からの接続を受け入れる：443
• は1.2.3.4:443にすべての要求を送信する（誰もが、私は1.2.3.4に到達することはできません）
• はものが働くかどうかをdmesgので1.2.3.4と同様
• 参照からの応答を受信するリクエスタを使用可能ではなく、もっと必要ではない場合

あなたが何かしているかしていない理由を説明してください。私は本当にこのものを把握したい。ありがとう！

Answer 1

私が見つけた最も良い説明は、さらに深い説明と図を参照しながらも、archwikiです。私がarchwikiを通して見つけた深い1つのガイドはthis iptables tutorialです。

例えば、here (Simple stateful firewall)は、すべての決定についての詳細な例です。

私は視覚的な学習者であるため、私はthis youtube videoという非常に有用なことが分かり、誰でも自宅で再生できる2つのVMを使用した実行例を示してくれます。

Furhter読み：

は、今私は、私はパッケージがテーブルとチェーンをウォークスルーを示し、私はほとんどちょうど次の図を参照する必要がレベルでだ感じ

• 議論か1べきdrop or reject
• the internet protocols RFC
• NEW and SYNパッケージはどうなっていますか？
• 一部のチュートリアルではconntrack and others use stateを使用するのはなぜですか？

サイドノート：

• いくつかのガイドがESTABLISHED,RELATEDルールを含む、他にはない、なぜ私はいつも混乱しました。これらのルールが存在するかどうかは、既存のネットワークトラフィックが切断されているかどうかを判断します。たとえば、マシンに接続するためにsshセッションを使用している場合、sshセッションがiptablesルールを追加することでkillされない場合は、ESTABLISHEDの接続がうまくいくというルールがあります。 RELATEDパッケージは、pingまたはネットワーク情報パッケージ（ICMP）へのインスタンス応答用です。
• Simple stateful firewall exampleでは、異なるnmapテストの違いについても説明しています。
• も良いoverview