CentOS iptables관련 질문드립니다. :: 2cpu, 지름이 시작되는 곳!

중고장터 more

쓰기

CentOS iptables관련 질문드립니다.

멜랑꼴링

2019-02

2019-02-14 16:49:14

조회 2479 추천 0

사용자단에 서버가 들어가서 서버쪽 iptables구성을 하고 있는데

제가 알고있는 부분과 많이 달라 어려움을 겪고 있습니다.

INPUT체인만 작업생각하고 있고

OUTPUT ,FORWARD는 건드리지 않았습니다.

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 11 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 12 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 13 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 14 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 15 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 16 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 17 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 18 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.0.10 --dport 19 -j ACCEPT

위와같은식으로 허용해줄 목적지와 목적지포트를 지정한 후에

그외에 것들은 모두 차단하기위해 INPUT정책을 DROP으로 바꾸려고 하면 로컬단에서도 서버가 느려지는데

설정을 더 넣어야하는것이 있는지 도무지 모르겠습니다.

개인 가상화에서 실험을 해봐도 기본정책을 DROP이나 REJECT로 수정하니 로컬단에서 느려지네요...

무슨 문제가 있는지 해결책아시는분 고견좀 부탁드립니다.

포트와 IP는 실제 설정과 다른 임의로 아무거나 집어넣었습니다.

안녕하십니까 it관련 지식을 쌓아보고자 가입합니다.

짧은글 일수록 신중하게.



송주환 2019-02 서버가 느려진다는 게 어떤 의미이신지요. 그리고 룰과 체인은 각각 몇 개씩 있나요? 서버가 느려진다는 게 어떤 의미이신지요. 그리고 룰과 체인은 각각 몇 개씩 있나요?



it생초보 2019-02 체인은 기본체인 3개 있습니다 INPUT, OUTPUT FORWARD INPUT으로 들어오는것만 설정하려고 해서 OUTPUT과 FORWARD는 기본값이고 INPUT에 룰이 11개 들어가있습니다. 느려진다는것이 INPUT의 기본정책을 DROP으로 바꾸고나면 명령어 사용시 출력이 느려지고 전체적인 반응이 느려집니다. ssh접속이 갑자기 끊기기도 합니다. ssh접속관련 INPUT 설정은 맨 윗줄에 해놓았기 때문에 끊어질 이유가 없을텐데 이유를 모르겠습니다 INPUT정책은 다 ACCEPT설정만 있고 REJECT나 DROP설정은 없고 INPUT 기본정책을 DROP으로 하여 나머지 서비스를 막을 생각인데 INPUT 기본정책을 DROP으로 바꾸면 위에 말씀드린 증상이 나타납니다. 체인은 기본체인 3개 있습니다 INPUT, OUTPUT FORWARD INPUT으로 들어오는것만 설정하려고 해서 OUTPUT과 FORWARD는 기본값이고 INPUT에 룰이 11개 들어가있습니다. 느려진다는것이 INPUT의 기본정책을 DROP으로 바꾸고나면 명령어 사용시 출력이 느려지고 전체적인 반응이 느려집니다. ssh접속이 갑자기 끊기기도 합니다. ssh접속관련 INPUT 설정은 맨 윗줄에 해놓았기 때문에 끊어질 이유가 없을텐데 이유를 모르겠습니다 INPUT정책은 다 ACCEPT설정만 있고 REJECT나 DROP설정은 없고 INPUT 기본정책을 DROP으로 하여 나머지 서비스를 막을 생각인데 INPUT 기본정책을 DROP으로 바꾸면 위에 말씀드린 증상이 나타납니다.



송주환 2019-02 iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT



it생초보 2019-02 답변 감사합니다 적용해보겠습니다. 염치없지만 해당룰의 옵션 설명 부탁드려도 될까요?? 답변 감사합니다 적용해보겠습니다. 염치없지만 해당룰의 옵션 설명 부탁드려도 될까요??



송주환 2019-02 이전에 Accept된 커넥션을 통과시키는 룰입니다. 이전에 Accept된 커넥션을 통과시키는 룰입니다.



it생초보 2019-02 이 룰이 없으면 글에있는것과같은 문제가 나타나는 걸까요?? 위 룰을 iptables INPUT 필수 룰로 기억하고 있어야 되겠습니다.ㅎㅎ 감사합니다. 이 룰이 없으면 글에있는것과같은 문제가 나타나는 걸까요?? 위 룰을 iptables INPUT 필수 룰로 기억하고 있어야 되겠습니다.ㅎㅎ 감사합니다.



파닥파닥 2019-02 헌데 어떤 이유에서 outbound 트래픽을 output 체인에서 제어하지 않고 input 체인에서 제어하시는 걸까요 헌데 어떤 이유에서 outbound 트래픽을 output 체인에서 제어하지 않고 input 체인에서 제어하시는 걸까요



it생초보 2019-02 OUPUT은 최초패킷이 대상에서 나갈때 사용하는 것이 아닌가요 ?? iptables은 상태추적 기능이있어 INPUT으로 들어온 패킷들은 검사없이 나가는걸로 알고 있습니다. 그래서 OUTPUT은 신경쓰지 않은건데 잘못알고 있다면 고견 부탁드립니다 OUPUT은 최초패킷이 대상에서 나갈때 사용하는 것이 아닌가요 ?? iptables은 상태추적 기능이있어 INPUT으로 들어온 패킷들은 검사없이 나가는걸로 알고 있습니다. 그래서 OUTPUT은 신경쓰지 않은건데 잘못알고 있다면 고견 부탁드립니다



파닥파닥 2019-02 Client --> Server 패킷을 제어하시려고 하신거였군요. 서버입장에서 봤을 때 (iptables rule 상으로) 보통은 src IP (클라이언트 IP)와 dst PORT (서버쪽) 을 설정하는데 설명 주신 부분에서는 dst ip + dst port 으로 주셔서 깜짝놀랐네요. inbound 트래픽으로 본다면, 여러 회원분들이 말씀하신거처럼 stateful match 을 INPUT 체인의 최상단 정책으로 넣어주시면 됩니다. (보통 conntrack 모듈은 기본 로딩하기 때문에... 생략하고) # Allow ESTABLISHED, RELATED state -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # DROP INVALID packet -A INPUT -m state --state INVALID -j DROP 다만, stateful match 의 경우에는 conntrack table 에 해당 패킷 flow 를 마킹하기 때문에 아주 대량의 트래픽이 흐른다면 (테이블 조정의 범위를 넘어설 정도) ipset 을 써서 address group 을 따로 관리하시던가, 아니면 NOTRACK 으로 설정하여 connection track 을 포기하셔야 합니다. Client --> Server 패킷을 제어하시려고 하신거였군요. 서버입장에서 봤을 때 (iptables rule 상으로) 보통은 src IP (클라이언트 IP)와 dst PORT (서버쪽) 을 설정하는데 설명 주신 부분에서는 dst ip + dst port 으로 주셔서 깜짝놀랐네요. inbound 트래픽으로 본다면, 여러 회원분들이 말씀하신거처럼 stateful match 을 INPUT 체인의 최상단 정책으로 넣어주시면 됩니다. (보통 conntrack 모듈은 기본 로딩하기 때문에... 생략하고) # Allow ESTABLISHED, RELATED state -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # DROP INVALID packet -A INPUT -m state --state INVALID -j DROP 다만, stateful match 의 경우에는 conntrack table 에 해당 패킷 flow 를 마킹하기 때문에 아주 대량의 트래픽이 흐른다면 (테이블 조정의 범위를 넘어설 정도) ipset 을 써서 address group 을 따로 관리하시던가, 아니면 NOTRACK 으로 설정하여 connection track 을 포기하셔야 합니다.



박경원 2019-02 sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP 위 세 줄은 INPUT 체인 맨 위에 써주세요 첫 번째줄: 내가 요청한(나한테서 밖으로 나간) 요청은 통과 두 번째줄: 내가 나한테 보내는 통신은 통과(루프백 장치) 세 번째줄: 상태가 INVALID인 패킷은 드랍 sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP 위 세 줄은 INPUT 체인 맨 위에 써주세요 첫 번째줄: 내가 요청한(나한테서 밖으로 나간) 요청은 통과 두 번째줄: 내가 나한테 보내는 통신은 통과(루프백 장치) 세 번째줄: 상태가 INVALID인 패킷은 드랍

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

1267/5590

번호	제목Page 1267/5590	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (715)	정은준1	2014-05	4480679	0
[필독] 처음 오시는 분을 위한 안내 (715) 2014-05 4480679 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1032430	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1032430 1 백메가
86473	LENOVO C30은 별로인가요? (6)	나로와	2019-03	2485	0
LENOVO C30은 별로인가요? (6) 2019-03 2485 1 나로와
86472	(서울/을지로3가)혹시 as가능하신분 계신가요? (7)	김동혁1	2019-03	2819	0
(서울/을지로3가)혹시 as가능하신분 계신… (7) 2019-03 2819 1 김동혁1
86471	z420 에 붙어있는 이거 뭐하는데 쓰는건가요? (7)	osthek83	2019-03	2571	0
z420 에 붙어있는 이거 뭐하는데 쓰는건가… (7) 2019-03 2571 1 osthek83
86470	장터의 ASR-8885Q를 보니 욕심이 생깁니다. IOPS 위주로 봤을 때 가장 좋은 솔루션일… (8)	쓰레기단장	2019-03	2638	0
장터의 ASR-8885Q를 보니 욕심이 생깁니다… (8) 2019-03 2638 1 쓰레기단장
86469	html/ css 질문 드립니다.. div 높이 관련.. . (7)	김제연	2019-03	2772	0
html/ css 질문 드립니다.. div 높이 관… (7) 2019-03 2772 1 김제연
86468	컴퓨터 화면이안나오네요 (38)	루비아빠	2019-03	3274	0
컴퓨터 화면이안나오네요 (38) 2019-03 3274 1 루비아빠
86467	컴퓨터의 현재 영상을 모니터와 TV에 함께 나오게 하고 싶은데.. (7)	노아디	2019-03	3128	0
컴퓨터의 현재 영상을 모니터와 TV에 함… (7) 2019-03 3128 1 노아디
86466	이거 혹시 하드디스크 고장인건가요? (7)	송주형	2019-03	3804	0
이거 혹시 하드디스크 고장인건가요? (7) 2019-03 3804 1 송주형
86465	아수스 공유기로 교체했습니다. (7)	이희주	2019-03	3097	0
아수스 공유기로 교체했습니다. (7) 2019-03 3097 1 이희주
86464	국내 쇼핑몰에서 스페이서는 어디서 구매하나요? (16)	무아	2019-03	3226	0
국내 쇼핑몰에서 스페이서는 어디서 구매… (16) 2019-03 3226 1 무아
86463	10GBIC 질문합니다. (11)	소푸	2019-03	3725	0
10GBIC 질문합니다. (11) 2019-03 3725 1 소푸
86462	프로젝터에 쓰이는 DIVX플레이어 질문 (2)	김영기	2019-03	1886	0
프로젝터에 쓰이는 DIVX플레이어 질문 (2) 2019-03 1886 1 김영기
86461	자동차 에어컨 필터를 교체 해야 하는데 ... (10)	신은왜	2019-03	2653	0
자동차 에어컨 필터를 교체 해야 하는데 .… (10) 2019-03 2653 1 신은왜
86460	vmware 사양 제발부탁드립니다... (16)	일자무식	2019-03	2982	0
vmware 사양 제발부탁드립니다... (16) 2019-03 2982 1 일자무식
86459	터치형 모니터 청소(?) / 수리(?) (4)	삐돌이슬픔이	2019-03	2193	0
터치형 모니터 청소(?) / 수리(?) (4) 2019-03 2193 1 삐돌이슬픔이
86458	esxi 설치를 하는데 네트워크 어댑터가 인식이 안 돼서 랜카드를 하나 구매를 하려고… (7)	ghgkgugi	2019-03	2973	0
esxi 설치를 하는데 네트워크 어댑터가 인… (7) 2019-03 2973 1 ghgkgugi
86457	파트타임 경영지원팀원 구인 관련 (5)	아마데우쓰	2019-03	2326	0
파트타임 경영지원팀원 구인 관련 (5) 2019-03 2326 1 아마데우쓰
86456	클라우드 초보 질문입니다. 2. (6)	지옥성녀은비	2019-03	2113	0
클라우드 초보 질문입니다. 2. (6) 2019-03 2113 1 지옥성녀은비
86455	MS Office 라이센스 (6)	백만스물하나	2019-03	2699	0
MS Office 라이센스 (6) 2019-03 2699 1 백만스물하나
86454	나도 열풍기를 사고 싶다 어떤 것을 사야할까요? (26)	허인구마틴	2019-03	5559	0
나도 열풍기를 사고 싶다 어떤 것을 사야… (26) 2019-03 5559 1 허인구마틴