test os: centos5.7
iptables 위치 : 일반적으로 아래에 위치한다.
-rwxr-xr-x 1 root root 57376 Nov 2 2009 /sbin/iptables
3 가지 체인이 존재한다. INPUT, OUTPUT, FORWARD
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
INPUT: 들어가는 패킷이 통과하는 체인
OUTPUT: 나가는 모든 패킷이 통과하는 체인
FORWARD: 한 네트워크를 다른 네트워크와 연결하기 위해 iptables 방화벽을 사용해서 두 네트워크 간의 패킷이 방화벽을 통과해야 하는 경우
100.100.100.1 아이피에 대해 서버로 접근하지 못하도록 차단해 보자.
[root@sf2 ~]# iptables -A INPUT -s 100.100.100.1 -j DROP
[root@sf2 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 100.100.100.1 0.0.0.0/0
대표적으로 많이 사용되는 프로토콜: TCP, UDP, ICMP
telnet port 23을 차단해 보자. 아이피: 100.100.100.1 에서 접속한다.
iptables -A INPUT -s 100.100.100.1 -p tcp --destination-port 23 -j DROP
[root@sf1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 100.100.100.1 0.0.0.0/0 tcp dpt:23
대역을 차단해 보자.
iptables -A INPUT -s 100.100.101.0/24 -p tcp --destination-port 23 -j DROP
DROP tcp -- 100.100.101.0/24 0.0.0.0/0 tcp dpt:23
내부 랜은 eth0 으로 되어 있고, 외부 인터넷은 ppp0 로 연결 되어 있디고 할때
외부 인터넷 telnet 접속을 차단해 보자.
iptables -A INPUT -p tcp --destination-port 23 -i ppp0 -j DROP
-i : input interface
-o : output interface
chain 에서 먼저 등록된 룰이 적용이 된다.
따라서 허용 정책이 오고 그 다음 거부하는 정책이 와야 한다.
-A 옵션을 사용하면 chain 의 맨 아래쪽에 추가된다.
-I 옵션을 사용하면 원하는 위치에 추가할 수 있다.
-R 옵션을 사용하면 해당 위치의 룰은 삭제가 되고 추가되는 룰이 적용된다.
-D 룰을 삭제할때 사용한다.
-L 룰의 목록을 보여준다.
[root@sf1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 100.100.100.1 anywhere tcp dpt:telnet
DROP tcp -- 100.100.101.0/24 anywhere tcp dpt:telnet
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-F 룰 삭제를 한다.
[root@sf1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
SYN 패킷은 주고 받을 준비가 되었다는것만 알려주는 기능을 한다.
SYN 패킷을 차단한다면 다른 컴퓨터가 내 컴퓨터의 서비스를 이용하지 못한다.
아래 처럼 하면 인터넷에서는 내 컴퓨터를 사용하지 못한다.
[root@sf1 ~]# iptables -A INPUT -i ppp0 -p tcp --syn -j DROP
[root@sf1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
그런데 웹서비스를 운영한다면 아래와 같이 한다.
80포트를 열어야 한다.
[root@sf1 ~]# iptables -A INPUT -i ppp0 -p tcp --syn --destination-port ! 80 -j DROP
[root@sf1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:!80 flags:0x17/0x02
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
FORWARD 체인의 정책을 ACCEPT 로 해보자
[root@sf1 ~]# iptables -P FORWARD ACCEPT
[root@sf1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:!80 flags:0x17/0x02
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
게시글 목록
| 번호 | 제목 |
|---|---|
| 12281 |
JavaScript
팝업창을 브라우저 해상도 구분없이 항상 중앙에 띄우기 입니다.
1
|
| 20386 | |
| 12280 |
jQuery
간단한 셀렉트 드롭다운 제이쿼리
|
| 12279 |
JavaScript
우클릭해제 소스 보기 자바스크립트 입니다.
|
| 12278 |
JavaScript
미리보기 소스 입니다.
|
| 12277 |
JavaScript
움직임이 자연스러운 자바시계 입니다.
|
| 12276 |
JavaScript
특정사람에게 메일 보내기 입니다.
|
| 12275 |
JavaScript
DirectX의 와이프 기능을 사용한 이미지 스와핑 효과 내기 입니다.
|
| 12274 |
JavaScript
iframe 써서 노 프레임 효과 내기 입니다.
|
| 12273 |
jQuery
이미지 없이 구현하는 간단한 별점 기능 제이쿼리
|
| 12272 | |
| 12260 |
node.js
Node.js - 실시간 위치 추적 (1)
11
|
| 360 | |
| 12258 | |
| 12257 | |
| 12256 | |
| 12255 | |
| 12253 | |
| 12252 | |
| 12251 | |
| 12250 | |
| 12249 | |
| 12248 | |
| 12247 | |
| 12246 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기