CentOS iptables°ü·Ã Áú¹®µå¸³´Ï´Ù.

   Á¶È¸ 2803   Ãßõ 0    

사용자단에 서버가 들어가서 서버쪽 iptables구성을 하고 있는데

제가 알고있는 부분과 많이 달라 어려움을 겪고 있습니다.

INPUT체인만 작업생각하고 있고

OUTPUT ,FORWARD는 건드리지 않았습니다.

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 11 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 12 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 13 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 14 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 15 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 16 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 17 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 18 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.0.10 --dport 19 -j ACCEPT


위와같은식으로 허용해줄 목적지와 목적지포트를 지정한 후에 

그외에 것들은 모두 차단하기위해 INPUT정책을 DROP으로 바꾸려고 하면 로컬단에서도 서버가 느려지는데

설정을 더 넣어야하는것이 있는지 도무지 모르겠습니다.

개인 가상화에서 실험을 해봐도 기본정책을 DROP이나 REJECT로 수정하니 로컬단에서 느려지네요...

무슨 문제가 있는지 해결책아시는분 고견좀 부탁드립니다.

포트와 IP는 실제 설정과 다른 임의로 아무거나 집어넣었습니다.

안녕하십니까 it관련 지식을 쌓아보고자 가입합니다.
ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
¼ÛÁÖȯ 2019-02
¼­¹ö°¡ ´À·ÁÁø´Ù´Â °Ô ¾î¶² ÀǹÌÀ̽ÅÁö¿ä.
±×¸®°í ·ê°ú üÀÎÀº °¢°¢ ¸î °³¾¿ ÀÖ³ª¿ä?
     
it»ýÃʺ¸ 2019-02
üÀÎÀº ±âº»Ã¼ÀÎ 3°³ ÀÖ½À´Ï´Ù
INPUT, OUTPUT FORWARD
INPUTÀ¸·Î µé¾î¿À´Â°Í¸¸ ¼³Á¤ÇÏ·Á°í Çؼ­ OUTPUT°ú FORWARD´Â ±âº»°ªÀÌ°í
INPUT¿¡ ·êÀÌ 11°³ µé¾î°¡ÀÖ½À´Ï´Ù.
´À·ÁÁø´Ù´Â°ÍÀÌ INPUTÀÇ ±âº»Á¤Ã¥À» DROPÀ¸·Î ¹Ù²Ù°í³ª¸é ¸í·É¾î »ç¿ë½Ã Ãâ·ÂÀÌ ´À·ÁÁö°í ÀüüÀûÀÎ ¹ÝÀÀÀÌ ´À·ÁÁý´Ï´Ù.
sshÁ¢¼ÓÀÌ °©Àڱ⠲÷±â±âµµ ÇÕ´Ï´Ù.
sshÁ¢¼Ó°ü·Ã INPUT ¼³Á¤Àº ¸Ç À­ÁÙ¿¡ Çسõ¾Ò±â ¶§¹®¿¡ ²÷¾îÁú ÀÌÀ¯°¡ ¾øÀ»ÅÙµ¥ ÀÌÀ¯¸¦ ¸ð¸£°Ú½À´Ï´Ù
INPUTÁ¤Ã¥Àº ´Ù ACCEPT¼³Á¤¸¸ ÀÖ°í REJECT³ª DROP¼³Á¤Àº ¾ø°í
INPUT ±âº»Á¤Ã¥À» DROPÀ¸·Î ÇÏ¿© ³ª¸ÓÁö ¼­ºñ½º¸¦ ¸·À» »ý°¢Àε¥
INPUT ±âº»Á¤Ã¥À» DROPÀ¸·Î ¹Ù²Ù¸é À§¿¡ ¸»¾¸µå¸° Áõ»óÀÌ ³ªÅ¸³³´Ï´Ù.
          
¼ÛÁÖȯ 2019-02
iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
               
it»ýÃʺ¸ 2019-02
´äº¯ °¨»çÇÕ´Ï´Ù Àû¿ëÇغ¸°Ú½À´Ï´Ù.
¿°Ä¡¾øÁö¸¸ ÇØ´ç·êÀÇ ¿É¼Ç ¼³¸í ºÎŹµå·Áµµ µÉ±î¿ä??
                    
¼ÛÁÖȯ 2019-02
ÀÌÀü¿¡ AcceptµÈ Ä¿³Ø¼ÇÀ» Åë°ú½ÃÅ°´Â ·êÀÔ´Ï´Ù.
                         
it»ýÃʺ¸ 2019-02
ÀÌ ·êÀÌ ¾øÀ¸¸é ±Û¿¡Àִ°Ͱú°°Àº ¹®Á¦°¡ ³ªÅ¸³ª´Â °É±î¿ä??
À§ ·êÀ» iptables INPUT  Çʼö ·ê·Î ±â¾ïÇÏ°í ÀÖ¾î¾ß µÇ°Ú½À´Ï´Ù.¤¾¤¾
°¨»çÇÕ´Ï´Ù.
Çåµ¥ ¾î¶² ÀÌÀ¯¿¡¼­ outbound Æ®·¡ÇÈÀ» output üÀο¡¼­ Á¦¾îÇÏÁö ¾Ê°í input üÀο¡¼­ Á¦¾îÇϽô °É±î¿ä
     
it»ýÃʺ¸ 2019-02
OUPUTÀº ÃÖÃÊÆÐŶÀÌ ´ë»ó¿¡¼­ ³ª°¥¶§ »ç¿ëÇÏ´Â °ÍÀÌ ¾Æ´Ñ°¡¿ä ??
iptablesÀº »óÅÂÃßÀû ±â´ÉÀÌÀÖ¾î INPUTÀ¸·Î µé¾î¿Â ÆÐŶµéÀº °Ë»ç¾øÀÌ ³ª°¡´Â°É·Î ¾Ë°í ÀÖ½À´Ï´Ù.
±×·¡¼­ OUTPUTÀº ½Å°æ¾²Áö ¾ÊÀº°Çµ¥ À߸ø¾Ë°í ÀÖ´Ù¸é
°í°ß ºÎŹµå¸³´Ï´Ù
          
Client --> Server ÆÐŶÀ» Á¦¾îÇϽ÷Á°í ÇϽŰſ´±º¿ä.
¼­¹öÀÔÀå¿¡¼­ ºÃÀ» ¶§ (iptables rule »óÀ¸·Î) º¸ÅëÀº src IP (Ŭ¶óÀ̾ðÆ® IP)¿Í dst PORT (¼­¹öÂÊ) À» ¼³Á¤Çϴµ¥ ¼³¸í ÁֽŠºÎºÐ¿¡¼­´Â dst ip + dst port À¸·Î Áּż­ ±ô¦³î¶ú³×¿ä.

inbound Æ®·¡ÇÈÀ¸·Î º»´Ù¸é, ¿©·¯ ȸ¿øºÐµéÀÌ ¸»¾¸ÇϽŰÅó·³ stateful match À» INPUT üÀÎÀÇ ÃÖ»ó´Ü Á¤Ã¥À¸·Î ³Ö¾îÁÖ½Ã¸é µË´Ï´Ù.
(º¸Åë conntrack ¸ðµâÀº ±âº» ·ÎµùÇϱ⠶§¹®¿¡... »ý·«ÇÏ°í)

# Allow ESTABLISHED, RELATED state
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# DROP INVALID packet
-A INPUT -m state --state INVALID -j DROP

´Ù¸¸, stateful match ÀÇ °æ¿ì¿¡´Â conntrack table ¿¡ ÇØ´ç ÆÐŶ flow ¸¦ ¸¶Å·Çϱ⠶§¹®¿¡ ¾ÆÁÖ ´ë·®ÀÇ Æ®·¡ÇÈÀÌ È帥´Ù¸é (Å×À̺í Á¶Á¤ÀÇ ¹üÀ§¸¦ ³Ñ¾î¼³ Á¤µµ)
ipset À» ½á¼­ address group À» µû·Î °ü¸®ÇϽôø°¡, ¾Æ´Ï¸é NOTRACK À¸·Î ¼³Á¤ÇÏ¿© connection track À» Æ÷±âÇÏ¼Å¾ß ÇÕ´Ï´Ù.
¹Ú°æ¿ø 2019-02
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A  INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

À§ ¼¼ ÁÙÀº INPUT üÀÎ ¸Ç À§¿¡ ½áÁÖ¼¼¿ä

ù ¹ø°ÁÙ: ³»°¡ ¿äûÇÑ(³ªÇÑÅ×¼­ ¹ÛÀ¸·Î ³ª°£) ¿äûÀº Åë°ú
µÎ ¹ø°ÁÙ: ³»°¡ ³ªÇÑÅ× º¸³»´Â Åë½ÅÀº Åë°ú(·çÇÁ¹é ÀåÄ¡)
¼¼ ¹ø°ÁÙ: »óÅ°¡ INVALIDÀÎ ÆÐŶÀº µå¶ø


QnA
Á¦¸ñPage 3146/5686
2015-12   1522467   ¹é¸Þ°¡
2014-05   4986501   Á¤ÀºÁØ1
2023-03   2531   ¿ö´Ï´Ô
2014-06   4289   °¡ºü·Î±¸³ª
2023-03   1821   ¹Ì´ã
2015-10   3062   À©µµ¿ì10
2009-06   6469   ¹æoÈ¿o¹®
2016-10   4963   ±ô¹Ú±ô¹Ú°¡
2009-06   6699   dkrnn2
2015-10   3775   °Ü¿ï³ª¹«
2020-04   3041   ³ªÆÄÀÌ°­½ÂÈÆ
2019-02   2804   ¸á¶û²Ã¸µ
2020-04   2731   ½Ì¾î¼Û¶óÀÌÅÍ
2019-02   3666   ³ªºñz
2021-08   2473   henol
2019-02   3363   Sikieiki
2009-07   7375   À±ÁöÈÆ
2021-08   2211   Noname1
2009-07   6519   ÀÌÁø¼ö
2012-10   5363   ÀÌÁöÆ÷Åä
2015-11   5445   Àü¼³¼ÓÀǹ̡¦
2017-11   3955   tualatin