CentOS iptables°ü·Ã Áú¹®µå¸³´Ï´Ù.

   Á¶È¸ 2762   Ãßõ 0    

사용자단에 서버가 들어가서 서버쪽 iptables구성을 하고 있는데

제가 알고있는 부분과 많이 달라 어려움을 겪고 있습니다.

INPUT체인만 작업생각하고 있고

OUTPUT ,FORWARD는 건드리지 않았습니다.

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 11 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 12 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 13 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 14 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 15 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 16 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 17 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.10 --dport 18 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.0.10 --dport 19 -j ACCEPT


위와같은식으로 허용해줄 목적지와 목적지포트를 지정한 후에 

그외에 것들은 모두 차단하기위해 INPUT정책을 DROP으로 바꾸려고 하면 로컬단에서도 서버가 느려지는데

설정을 더 넣어야하는것이 있는지 도무지 모르겠습니다.

개인 가상화에서 실험을 해봐도 기본정책을 DROP이나 REJECT로 수정하니 로컬단에서 느려지네요...

무슨 문제가 있는지 해결책아시는분 고견좀 부탁드립니다.

포트와 IP는 실제 설정과 다른 임의로 아무거나 집어넣었습니다.

안녕하십니까 it관련 지식을 쌓아보고자 가입합니다.
ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
¼ÛÁÖȯ 2019-02
¼­¹ö°¡ ´À·ÁÁø´Ù´Â °Ô ¾î¶² ÀǹÌÀ̽ÅÁö¿ä.
±×¸®°í ·ê°ú üÀÎÀº °¢°¢ ¸î °³¾¿ ÀÖ³ª¿ä?
     
it»ýÃʺ¸ 2019-02
üÀÎÀº ±âº»Ã¼ÀÎ 3°³ ÀÖ½À´Ï´Ù
INPUT, OUTPUT FORWARD
INPUTÀ¸·Î µé¾î¿À´Â°Í¸¸ ¼³Á¤ÇÏ·Á°í Çؼ­ OUTPUT°ú FORWARD´Â ±âº»°ªÀÌ°í
INPUT¿¡ ·êÀÌ 11°³ µé¾î°¡ÀÖ½À´Ï´Ù.
´À·ÁÁø´Ù´Â°ÍÀÌ INPUTÀÇ ±âº»Á¤Ã¥À» DROPÀ¸·Î ¹Ù²Ù°í³ª¸é ¸í·É¾î »ç¿ë½Ã Ãâ·ÂÀÌ ´À·ÁÁö°í ÀüüÀûÀÎ ¹ÝÀÀÀÌ ´À·ÁÁý´Ï´Ù.
sshÁ¢¼ÓÀÌ °©Àڱ⠲÷±â±âµµ ÇÕ´Ï´Ù.
sshÁ¢¼Ó°ü·Ã INPUT ¼³Á¤Àº ¸Ç À­ÁÙ¿¡ Çسõ¾Ò±â ¶§¹®¿¡ ²÷¾îÁú ÀÌÀ¯°¡ ¾øÀ»ÅÙµ¥ ÀÌÀ¯¸¦ ¸ð¸£°Ú½À´Ï´Ù
INPUTÁ¤Ã¥Àº ´Ù ACCEPT¼³Á¤¸¸ ÀÖ°í REJECT³ª DROP¼³Á¤Àº ¾ø°í
INPUT ±âº»Á¤Ã¥À» DROPÀ¸·Î ÇÏ¿© ³ª¸ÓÁö ¼­ºñ½º¸¦ ¸·À» »ý°¢Àε¥
INPUT ±âº»Á¤Ã¥À» DROPÀ¸·Î ¹Ù²Ù¸é À§¿¡ ¸»¾¸µå¸° Áõ»óÀÌ ³ªÅ¸³³´Ï´Ù.
          
¼ÛÁÖȯ 2019-02
iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
               
it»ýÃʺ¸ 2019-02
´äº¯ °¨»çÇÕ´Ï´Ù Àû¿ëÇغ¸°Ú½À´Ï´Ù.
¿°Ä¡¾øÁö¸¸ ÇØ´ç·êÀÇ ¿É¼Ç ¼³¸í ºÎŹµå·Áµµ µÉ±î¿ä??
                    
¼ÛÁÖȯ 2019-02
ÀÌÀü¿¡ AcceptµÈ Ä¿³Ø¼ÇÀ» Åë°ú½ÃÅ°´Â ·êÀÔ´Ï´Ù.
                         
it»ýÃʺ¸ 2019-02
ÀÌ ·êÀÌ ¾øÀ¸¸é ±Û¿¡Àִ°Ͱú°°Àº ¹®Á¦°¡ ³ªÅ¸³ª´Â °É±î¿ä??
À§ ·êÀ» iptables INPUT  Çʼö ·ê·Î ±â¾ïÇÏ°í ÀÖ¾î¾ß µÇ°Ú½À´Ï´Ù.¤¾¤¾
°¨»çÇÕ´Ï´Ù.
Çåµ¥ ¾î¶² ÀÌÀ¯¿¡¼­ outbound Æ®·¡ÇÈÀ» output üÀο¡¼­ Á¦¾îÇÏÁö ¾Ê°í input üÀο¡¼­ Á¦¾îÇϽô °É±î¿ä
     
it»ýÃʺ¸ 2019-02
OUPUTÀº ÃÖÃÊÆÐŶÀÌ ´ë»ó¿¡¼­ ³ª°¥¶§ »ç¿ëÇÏ´Â °ÍÀÌ ¾Æ´Ñ°¡¿ä ??
iptablesÀº »óÅÂÃßÀû ±â´ÉÀÌÀÖ¾î INPUTÀ¸·Î µé¾î¿Â ÆÐŶµéÀº °Ë»ç¾øÀÌ ³ª°¡´Â°É·Î ¾Ë°í ÀÖ½À´Ï´Ù.
±×·¡¼­ OUTPUTÀº ½Å°æ¾²Áö ¾ÊÀº°Çµ¥ À߸ø¾Ë°í ÀÖ´Ù¸é
°í°ß ºÎŹµå¸³´Ï´Ù
          
Client --> Server ÆÐŶÀ» Á¦¾îÇϽ÷Á°í ÇϽŰſ´±º¿ä.
¼­¹öÀÔÀå¿¡¼­ ºÃÀ» ¶§ (iptables rule »óÀ¸·Î) º¸ÅëÀº src IP (Ŭ¶óÀ̾ðÆ® IP)¿Í dst PORT (¼­¹öÂÊ) À» ¼³Á¤Çϴµ¥ ¼³¸í ÁֽŠºÎºÐ¿¡¼­´Â dst ip + dst port À¸·Î Áּż­ ±ô¦³î¶ú³×¿ä.

inbound Æ®·¡ÇÈÀ¸·Î º»´Ù¸é, ¿©·¯ ȸ¿øºÐµéÀÌ ¸»¾¸ÇϽŰÅó·³ stateful match À» INPUT üÀÎÀÇ ÃÖ»ó´Ü Á¤Ã¥À¸·Î ³Ö¾îÁÖ½Ã¸é µË´Ï´Ù.
(º¸Åë conntrack ¸ðµâÀº ±âº» ·ÎµùÇϱ⠶§¹®¿¡... »ý·«ÇÏ°í)

# Allow ESTABLISHED, RELATED state
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# DROP INVALID packet
-A INPUT -m state --state INVALID -j DROP

´Ù¸¸, stateful match ÀÇ °æ¿ì¿¡´Â conntrack table ¿¡ ÇØ´ç ÆÐŶ flow ¸¦ ¸¶Å·Çϱ⠶§¹®¿¡ ¾ÆÁÖ ´ë·®ÀÇ Æ®·¡ÇÈÀÌ È帥´Ù¸é (Å×À̺í Á¶Á¤ÀÇ ¹üÀ§¸¦ ³Ñ¾î¼³ Á¤µµ)
ipset À» ½á¼­ address group À» µû·Î °ü¸®ÇϽôø°¡, ¾Æ´Ï¸é NOTRACK À¸·Î ¼³Á¤ÇÏ¿© connection track À» Æ÷±âÇÏ¼Å¾ß ÇÕ´Ï´Ù.
¹Ú°æ¿ø 2019-02
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A  INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

À§ ¼¼ ÁÙÀº INPUT üÀÎ ¸Ç À§¿¡ ½áÁÖ¼¼¿ä

ù ¹ø°ÁÙ: ³»°¡ ¿äûÇÑ(³ªÇÑÅ×¼­ ¹ÛÀ¸·Î ³ª°£) ¿äûÀº Åë°ú
µÎ ¹ø°ÁÙ: ³»°¡ ³ªÇÑÅ× º¸³»´Â Åë½ÅÀº Åë°ú(·çÇÁ¹é ÀåÄ¡)
¼¼ ¹ø°ÁÙ: »óÅ°¡ INVALIDÀÎ ÆÐŶÀº µå¶ø


QnA
Á¦¸ñPage 4444/5680
2015-12   1481878   ¹é¸Þ°¡
2014-05   4945184   Á¤ÀºÁØ1
2023-03   1761   ¹Ì´ã
2015-10   3033   À©µµ¿ì10
2006-02   5077   ±è¿µ±â
2009-06   6439   ¹æoÈ¿o¹®
2016-10   4917   ±ô¹Ú±ô¹Ú°¡
2006-02   5592   Á¤º´ÁÖ
2009-06   6666   dkrnn2
2015-10   3738   °Ü¿ï³ª¹«
2020-04   3005   ³ªÆÄÀÌ°­½ÂÈÆ
2019-02   2763   ¸á¶û²Ã¸µ
2020-04   2698   ½Ì¾î¼Û¶óÀÌÅÍ
2003-06   9224   ¹ÚÇö¼ö
2003-06   9240   ±è¼º¼ö
2019-02   3603   ³ªºñz
2021-08   2418   henol
2019-02   3282   Sikieiki
2003-07   11812   ¹Ú»óÇü
2006-03   4723   ³ëÇü¼®
2009-07   7349   À±ÁöÈÆ
2021-08   2169   Noname1