CentOS iptables°ü·Ã Áú¹®µå¸³´Ï´Ù.

   Á¶È¸ 2791   Ãßõ 0    

사용자단에 서버가 들어가서 서버쪽 iptables구성을 하고 있는데

제가 알고있는 부분과 많이 달라 어려움을 겪고 있습니다.

INPUT체인만 작업생각하고 있고

OUTPUT ,FORWARD는 건드리지 않았습니다.

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 11 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 12 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 13 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 14 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 15 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 16 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 17 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 18 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.0.10 --dport 19 -j ACCEPT


위와같은식으로 허용해줄 목적지와 목적지포트를 지정한 후에 

그외에 것들은 모두 차단하기위해 INPUT정책을 DROP으로 바꾸려고 하면 로컬단에서도 서버가 느려지는데

설정을 더 넣어야하는것이 있는지 도무지 모르겠습니다.

개인 가상화에서 실험을 해봐도 기본정책을 DROP이나 REJECT로 수정하니 로컬단에서 느려지네요...

무슨 문제가 있는지 해결책아시는분 고견좀 부탁드립니다.

포트와 IP는 실제 설정과 다른 임의로 아무거나 집어넣었습니다.

안녕하십니까 it관련 지식을 쌓아보고자 가입합니다.
ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
¼ÛÁÖȯ 2019-02
¼­¹ö°¡ ´À·ÁÁø´Ù´Â °Ô ¾î¶² ÀǹÌÀ̽ÅÁö¿ä.
±×¸®°í ·ê°ú üÀÎÀº °¢°¢ ¸î °³¾¿ ÀÖ³ª¿ä?
     
it»ýÃʺ¸ 2019-02
üÀÎÀº ±âº»Ã¼ÀÎ 3°³ ÀÖ½À´Ï´Ù
INPUT, OUTPUT FORWARD
INPUTÀ¸·Î µé¾î¿À´Â°Í¸¸ ¼³Á¤ÇÏ·Á°í Çؼ­ OUTPUT°ú FORWARD´Â ±âº»°ªÀÌ°í
INPUT¿¡ ·êÀÌ 11°³ µé¾î°¡ÀÖ½À´Ï´Ù.
´À·ÁÁø´Ù´Â°ÍÀÌ INPUTÀÇ ±âº»Á¤Ã¥À» DROPÀ¸·Î ¹Ù²Ù°í³ª¸é ¸í·É¾î »ç¿ë½Ã Ãâ·ÂÀÌ ´À·ÁÁö°í ÀüüÀûÀÎ ¹ÝÀÀÀÌ ´À·ÁÁý´Ï´Ù.
sshÁ¢¼ÓÀÌ °©Àڱ⠲÷±â±âµµ ÇÕ´Ï´Ù.
sshÁ¢¼Ó°ü·Ã INPUT ¼³Á¤Àº ¸Ç À­ÁÙ¿¡ Çسõ¾Ò±â ¶§¹®¿¡ ²÷¾îÁú ÀÌÀ¯°¡ ¾øÀ»ÅÙµ¥ ÀÌÀ¯¸¦ ¸ð¸£°Ú½À´Ï´Ù
INPUTÁ¤Ã¥Àº ´Ù ACCEPT¼³Á¤¸¸ ÀÖ°í REJECT³ª DROP¼³Á¤Àº ¾ø°í
INPUT ±âº»Á¤Ã¥À» DROPÀ¸·Î ÇÏ¿© ³ª¸ÓÁö ¼­ºñ½º¸¦ ¸·À» »ý°¢Àε¥
INPUT ±âº»Á¤Ã¥À» DROPÀ¸·Î ¹Ù²Ù¸é À§¿¡ ¸»¾¸µå¸° Áõ»óÀÌ ³ªÅ¸³³´Ï´Ù.
          
¼ÛÁÖȯ 2019-02
iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
               
it»ýÃʺ¸ 2019-02
´äº¯ °¨»çÇÕ´Ï´Ù Àû¿ëÇغ¸°Ú½À´Ï´Ù.
¿°Ä¡¾øÁö¸¸ ÇØ´ç·êÀÇ ¿É¼Ç ¼³¸í ºÎŹµå·Áµµ µÉ±î¿ä??
                    
¼ÛÁÖȯ 2019-02
ÀÌÀü¿¡ AcceptµÈ Ä¿³Ø¼ÇÀ» Åë°ú½ÃÅ°´Â ·êÀÔ´Ï´Ù.
                         
it»ýÃʺ¸ 2019-02
ÀÌ ·êÀÌ ¾øÀ¸¸é ±Û¿¡Àִ°Ͱú°°Àº ¹®Á¦°¡ ³ªÅ¸³ª´Â °É±î¿ä??
À§ ·êÀ» iptables INPUT  Çʼö ·ê·Î ±â¾ïÇÏ°í ÀÖ¾î¾ß µÇ°Ú½À´Ï´Ù.¤¾¤¾
°¨»çÇÕ´Ï´Ù.
Çåµ¥ ¾î¶² ÀÌÀ¯¿¡¼­ outbound Æ®·¡ÇÈÀ» output üÀο¡¼­ Á¦¾îÇÏÁö ¾Ê°í input üÀο¡¼­ Á¦¾îÇϽô °É±î¿ä
     
it»ýÃʺ¸ 2019-02
OUPUTÀº ÃÖÃÊÆÐŶÀÌ ´ë»ó¿¡¼­ ³ª°¥¶§ »ç¿ëÇÏ´Â °ÍÀÌ ¾Æ´Ñ°¡¿ä ??
iptablesÀº »óÅÂÃßÀû ±â´ÉÀÌÀÖ¾î INPUTÀ¸·Î µé¾î¿Â ÆÐŶµéÀº °Ë»ç¾øÀÌ ³ª°¡´Â°É·Î ¾Ë°í ÀÖ½À´Ï´Ù.
±×·¡¼­ OUTPUTÀº ½Å°æ¾²Áö ¾ÊÀº°Çµ¥ À߸ø¾Ë°í ÀÖ´Ù¸é
°í°ß ºÎŹµå¸³´Ï´Ù
          
Client --> Server ÆÐŶÀ» Á¦¾îÇϽ÷Á°í ÇϽŰſ´±º¿ä.
¼­¹öÀÔÀå¿¡¼­ ºÃÀ» ¶§ (iptables rule »óÀ¸·Î) º¸ÅëÀº src IP (Ŭ¶óÀ̾ðÆ® IP)¿Í dst PORT (¼­¹öÂÊ) À» ¼³Á¤Çϴµ¥ ¼³¸í ÁֽŠºÎºÐ¿¡¼­´Â dst ip + dst port À¸·Î Áּż­ ±ô¦³î¶ú³×¿ä.

inbound Æ®·¡ÇÈÀ¸·Î º»´Ù¸é, ¿©·¯ ȸ¿øºÐµéÀÌ ¸»¾¸ÇϽŰÅó·³ stateful match À» INPUT üÀÎÀÇ ÃÖ»ó´Ü Á¤Ã¥À¸·Î ³Ö¾îÁÖ½Ã¸é µË´Ï´Ù.
(º¸Åë conntrack ¸ðµâÀº ±âº» ·ÎµùÇϱ⠶§¹®¿¡... »ý·«ÇÏ°í)

# Allow ESTABLISHED, RELATED state
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# DROP INVALID packet
-A INPUT -m state --state INVALID -j DROP

´Ù¸¸, stateful match ÀÇ °æ¿ì¿¡´Â conntrack table ¿¡ ÇØ´ç ÆÐŶ flow ¸¦ ¸¶Å·Çϱ⠶§¹®¿¡ ¾ÆÁÖ ´ë·®ÀÇ Æ®·¡ÇÈÀÌ È帥´Ù¸é (Å×À̺í Á¶Á¤ÀÇ ¹üÀ§¸¦ ³Ñ¾î¼³ Á¤µµ)
ipset À» ½á¼­ address group À» µû·Î °ü¸®ÇϽôø°¡, ¾Æ´Ï¸é NOTRACK À¸·Î ¼³Á¤ÇÏ¿© connection track À» Æ÷±âÇÏ¼Å¾ß ÇÕ´Ï´Ù.
¹Ú°æ¿ø 2019-02
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A  INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

À§ ¼¼ ÁÙÀº INPUT üÀÎ ¸Ç À§¿¡ ½áÁÖ¼¼¿ä

ù ¹ø°ÁÙ: ³»°¡ ¿äûÇÑ(³ªÇÑÅ×¼­ ¹ÛÀ¸·Î ³ª°£) ¿äûÀº Åë°ú
µÎ ¹ø°ÁÙ: ³»°¡ ³ªÇÑÅ× º¸³»´Â Åë½ÅÀº Åë°ú(·çÇÁ¹é ÀåÄ¡)
¼¼ ¹ø°ÁÙ: »óÅ°¡ INVALIDÀÎ ÆÐŶÀº µå¶ø


QnA
Á¦¸ñPage 1379/5685
2014-05   4967523   Á¤ÀºÁØ1
2015-12   1503900   ¹é¸Þ°¡
2019-02   6638   chotws
2019-02   3123   Win31
2019-02   2256   ºÒ¹«°ñ
2019-02   3253   ±ÝÄáÄ¿ÇÇ
2019-02   3310   hydetky
2019-02   2990   Çϼ¿È£ÇÁ
2019-02   2734   arcane
2019-02   3022   ¯¯¸Ç
2019-02   2456   ÁÖ¿ëÈÆ
2019-02   2829   ¯¯¸Ç
2019-02   3684   niecol
2019-02   2587   ¸Ó¶óÄ«´Âµ¥
2019-02   2250   monan
2019-02   3124   Å×´õº£¾î
2019-02   3462   ¸êÁ¾À§±â°ø·æ
2019-02   2941   ¼Û¸íÁØ
2019-02   2792   ¸á¶û²Ã¸µ
2019-02   3097   õ¸¶°Ç»§
2019-02   2714   ¸ÞÆ®
2019-02   3781   Yune