본문 바로가기
설치 및 기술 자료/Linux

[Linux] Iptables , Netfiler 개념 및 사용법

by 주식회사 서버몬 2021. 9. 8.

 

안녕하세요. 주식회사 서버몬 입니다.

오늘은 리눅스 네트워크 방화벽에 기본이 되는 Iptables 와 Nefilter 의 개념 및 사용법 에 대해 알아 보도록 하겠습니다.

 

 Iptables 란?

여러개의 Netfiler 모듈로 구현된 OS 방화벽 입니다.

사용에 따라 방화벽, 라우터 ,브릿지 역할과 IP 패킷 필터링, NAT 관리 도구로도 이용 됩니다.

 

- iptables 기본 동작 순서

 

 

-주요 기능

상태 추척 : iptables 경유 패킷들에 대한 연결상태 추적

기능매칭 : 출발지와 목적지 IP, 출발지와 목적지 PORT, 프로토콜 등을 통한 매칭 기능
로그 : 매칭 패킷의 로그 저장
포트 포워딩 : NAT 기능 포함

 

-사용법

iptables [-t 테이블] [액션] [체인] [매치] [-j 타겟]

 

-테이블

filter, nat, mangle, raw

명시하지 않으면 기본적으로 filter이다.

 

-액션

액션(Action)
-A : APPEND : 정책 추가
-I : INSERT : 정책 삽입
-D : DELETE : 정책 삭제
-R : REPLACE : 정책 교체
-F : FLUSH : 모든 정책 삭제
-P : POLICY : 기본 정책을 설정
-L : LIST : 정책 나열

 

-체인

체인규칙 설명
INPUT 외부에서 들어오는 패킷에 대한 체인
OUTPUT 내부에서 나가는 패킷에 대한 체인
FORWARD 내부에서 경유하는 패킷에 대한 체인
PREROUTING (DNAT) : 패킷의 도착지(deatination) 주소를 변경한다. D(estination)NAT
POSTROUTING (SNAT 또는 masquerade) : 패킷의 출발지(source) 주소를 변경한다. S(ource)NAT

-매치
-s : 출발지 매칭. 도메인, IP 주소, 넷마스크 값을 이용하여 표기(––source, ––src)
-d : 목적지 매칭. 도메인, IP 주소, 넷마스크 값을 이용하여 표기(––destination, ––dst)
-p : 프로토콜과 매칭. TCP, UDP, ICMP 와 같은 이름을 사용하고 대소문자는 구분하지 않음
-i : 입력 인터페이스와 매칭(––in-interface)
-o : 출력 인터페이스와 매칭(––out-interface)
-j : 매치되는 패킷을 어떻게 처리할지 지정 (--jump)

 

-타겟
패킷이 규칙과 일치할 때 취하는 동작을 지정한다.
ACCEPT : 패킷을 허용한다.
DROP : 패킷을 버린다(패킷이 전송된 적이 없던 것처럼)
REJECT : 패킷을 버리고 이와 동시에 적절한 응답 패킷을 전송한다.(icmp-port-unreachable)
LOG : 패킷을 syslog에 기록한다.
SNAT --to [주소] : 소스 IP를 [변환(NAT)|NAT]한다.
DNAT --to [주소] : 목적지 IP를 변환(NAT)한다.
RETURN : 호출 체인 내에서 패킷 처리를 계속한다.

 

 

-사용 예시 (정책 열람)

[root@home ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

-사용 예시

192.168.10.22로 부터 들어오는 패킷들은 차단하는 정책을 추가
iptables -I INPUT 192.168.10.22 -j DROP

 

192.168.10. 대역으로 부터 들어오는 패킷들은 차단하는 정책을 추가
iptables -A INPUT 192.168.10.0/24 -j DROP

해당 시스템에는 이더넷 카드가 두 개가 장착되어 있는데, 첫 번째 이더넷 카드에서 나가는 패킷에 대해 공인 IP 주소인 203.247.40.100을 할당한다.
iptables –t nat –A POSTROUTING -o eth0 –j SNAT --to 203.247.40.100

같은 IP 주소에서 60초 동안에 15번 이상 접속을 시도하면 DROP 시키는 정책을 추가
iptables -A SSH -p udp --dport 22 -m recent --update--seconds 60 --hitcount 15 -j drop

 

 

HPE, 레노버, 델 서버, 워크스테이션, 기업용 노트북 등 IT 제품은 서버몬에서 견적받아보세요~

제품에 대한 상담을 희망하시면, 02-2026-5062 or sales@servermon.co.kr로 문의 주세요.

서버몬에서 운영하는 IT 쇼핑몰을 구경하시려면, 하단의 로고를 클릭해주세요.

 

서버몬/서버몬기술지원/스위치/스위치 기술지원비(비용)/스위치 설치비/방화벽/방화벽 기술지원비(비용)/방화벽 설치비/랙/랙(RACK) 기술지원비(비용)/랙(RACK) 설치비/KVM/KVM 기술지원비(비용)/KVM 설치비/스토리지/스토리지 기술지원비(비용)/스토리지 설치비/스토리지 랙마운트비용/스토리지 장애조치비용/서버/서버 기술지원비(비용)/서버 설치비/서버 랙마운트비용/서버 장애조치비용/윈도우서버/윈도우즈 기술지원비(비용)/윈도우즈 설치비/리욱스/Linux/리눅스 기술지원비(비용)/리눅스 설치비/DB/데이터베이스/MySQL 기술지원비(비용)/MySQL 설치비/MSSQL 기술지원비(비용)/MSSQL 설치비/백업 기술지원비(비용)/HPE서버비용/HPE/DL20/DL20GEN10/ML30/ML30GEN10/ML360/ML350GEN10/DL360/DL360Gen10/DL380/DL380Gen10/LENOVO서버/레노보서버/델서버/델서버비용/DELLR540/DELLR750/HP서버/서버엔지니어/서버기술지원/서버디스크장애처리/방화벽/방화벽엔지니어/APC UPS/UPS/UPS설치/UPS기술지원/UPS납품/서버렉마운트/HPE Service Pack for Proliant/HPE SPP/SPP/Intelligent Provisioning/시놀로지나스/나스기술지원/SYNOLOGY/SYNOLOGY나스/시놀로지DS918/시놀로지하이퍼백업/HYPER BACKUP/시놀로지HyperBackup/시놀로지나스백업/서버백업/서버트러블슈팅/리눅스트러블슈팅/보안솔루션/시큐어디스크/인터넷디스크/이스트소프트/알약/카스퍼스키/ESTSOFT/V3/안랩/소포스/SOPHOS/카보나이트/더블테이크/이중화솔루션/HA솔루션/Windows서버설치/왼도우서버설치/윈도우서버2019/윈도우서버2016/MSSQL/MYSQL/디포그랙/DEFOG랙/디포그랙가격/EDFOG랙가격/RMS랙/서버납품/랙납품설치/랙설치/나스설치지원/스토리지납품설치/윈도우서버트러블슈팅/리눅스서버트러블슈팅/HPE서버펌웨어/HP서버펌웨어/HPE서버/FIRMWARE/DELL서버펌웨어/델서버펌웨어업데이트/레노보서버펌웨어/LENOVO펌웨어업데이트/HPE서버드라이버설치/HPE서버구매/DELL서버구매/LENOVO서버구매/보안솔루션구매/이중화솔루션구매/보안솔루션설치/이중화솔루션설치/HPE서버가격비교/DELL서버가격비교/LENOVO서버가격비교/HPE서버가격비교견적/DELL서버가격비교견적/LENOVO서버가격비교견적/HPE서버견적/DELL서버견적/LENOVO서버견적/HPE서버디스크교체/DELL서버디스크교체/LENOVO서버디스크교체/HPE서버RAID컨트롤러/HPE서버RAID컨트롤러/DELL서버RAID컨트롤러/LENOVO서버RAID컨트롤러/HP서버하드디스크/HPE서버하드디스크구매/DELL서버하드디스크구매/LENOVO서버하드디스크구매/HPE서버SAS하드디스크/DELL서버SAS하드디스크/LENONO서버SAS하드디스크/HPE서버메모리/DELL서버메모리/LENOVO서버메모리/HP서버메모리/HPE서버CPU/DELL서버CPU/LENOVO서버CPU/서버CPU/서버메모리/서버MEMORY/ECC메모리/서버용메모리/서버용하드디스크/서버용그래픽카드/쿼드로P400/QUADRO그래픽카드/QUADRO/우분투설치/서버보안/네트워크장비/네트워크스위치/L2스위치/L3스위치/OS설치/서버OS설치/리눅스서버설치/우분투설치/페도라설치/레드헷설치/RHEL설치/

 

댓글