|
오랜만에 올리네요.
iptables 에 대해 다시 정리해 보는 계기가 되었습니다.
test os: centos5.7
iptables 위치 : 일반적으로 아래에 위치한다.
-rwxr-xr-x 1 root root 57376 Nov 2 2009 /sbin/iptables
3 가지 체인이 존재한다. INPUT, OUTPUT, FORWARD
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
INPUT: 들어가는 패킷이 통과하는 체인
OUTPUT: 나가는 모든 패킷이 통과하는 체인
FORWARD: 한 네트워크를 다른 네트워크와 연결하기 위해 iptables 방화벽을 사용해서 두 네트워크 간의 패킷이 방화벽을 통과해야 하는 경우
100.100.100.1 아이피에 대해 서버로 접근하지 못하도록 차단해 보자.
[root@sf2 ~]# iptables -A INPUT -s 100.100.100.1 -j DROP
[root@sf2 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 100.100.100.1 0.0.0.0/0
대표적으로 많이 사용되는 프로토콜: TCP, UDP, ICMP
telnet port 23을 차단해 보자. 아이피: 100.100.100.1 에서 접속한다.
iptables -A INPUT -s 100.100.100.1 -p tcp --destination-port 23 -j DROP
[root@sf1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 100.100.100.1 0.0.0.0/0 tcp dpt:23
대역을 차단해 보자.
iptables -A INPUT -s 100.100.101.0/24 -p tcp --destination-port 23 -j DROP
DROP tcp -- 100.100.101.0/24 0.0.0.0/0 tcp dpt:23
내부 랜은 eth0 으로 되어 있고, 외부 인터넷은 ppp0 로 연결 되어 있디고 할때
외부 인터넷 telnet 접속을 차단해 보자.
iptables -A INPUT -p tcp --destination-port 23 -i ppp0 -j DROP
-i : input interface
-o : output interface
chain 에서 먼저 등록된 룰이 적용이 된다.
따라서 허용 정책이 오고 그 다음 거부하는 정책이 와야 한다.
-A 옵션을 사용하면 chain 의 맨 아래쪽에 추가된다.
-I 옵션을 사용하면 원하는 위치에 추가할 수 있다.
-R 옵션을 사용하면 해당 위치의 룰은 삭제가 되고 추가되는 룰이 적용된다.
-D 룰을 삭제할때 사용한다.
-L 룰의 목록을 보여준다.
[root@sf1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 100.100.100.1 anywhere tcp dpt:telnet
DROP tcp -- 100.100.101.0/24 anywhere tcp dpt:telnet
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-F 룰 삭제를 한다.
[root@sf1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
SYN 패킷은 주고 받을 준비가 되었다는것만 알려주는 기능을 한다.
SYN 패킷을 차단한다면 다른 컴퓨터가 내 컴퓨터의 서비스를 이용하지 못한다.
아래 처럼 하면 인터넷에서는 내 컴퓨터를 사용하지 못한다.
[root@sf1 ~]# iptables -A INPUT -i ppp0 -p tcp --syn -j DROP
[root@sf1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
그런데 웹서비스를 운영한다면 아래와 같이 한다.
80포트를 열어야 한다.
[root@sf1 ~]# iptables -A INPUT -i ppp0 -p tcp --syn --destination-port ! 80 -j DROP
[root@sf1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:!80 flags:0x17/0x02
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
FORWARD 체인의 정책을 ACCEPT 로 해보자
[root@sf1 ~]# iptables -P FORWARD ACCEPT
[root@sf1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:!80 flags:0x17/0x02
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
|