iptable

iptables 기본형식 

 -A : 새로운 규칙을 추가

 -D : 규칙을 삭제

 -C : 패킷을 테스트 

 -I : 새로운 규칙을 삽입

 -R : 새로운 규칙을 교체

 -L : 새로운 규칙을 출력

 -F : 체인의 모든 규칙을 삭제

 -Z : 체인의 패킷과 바이트 카운터 값을 0으로 만듬.

 -N : 새로운 체인을 만듦

 -X : 체인을 삭제함.

  -P : 기본 정책을 변경함.

iptables 옵션

 -protocol = -p 프로토콜타입 지정(TCP/UDP/ICMP/Etc...) 

 -source = -s 출발지 어드레스 지정(Address[/mask]) 

 -destination = -d 목적지 어드레스 지정(Address[/mask]) 

  --source_port  = --sport 출발지 포트를 지정. 

  --destination_port = --dport 목적지 포트를 지정

 -in-interface = -i 네트워크 인터페이스를 지정 

 -jump = -j 타겟에 대한 규칙을 지정(ACCEPT/REJECT/DROP) 

[기본 iptable]

- Chain INPUT : 들어오는 패킷들에 대한 방화벽 정책
- Chain FORWARD : 지나가는 패킷들에 대한 방화벽 정책

- Chain OUTPUT : 나가는 패킷들에 대한 방화벽 정책

- Chain RH-Rirewall -1 INPUT : 기본적으로 저장된 정책 목록  

[iptable INPUT 차단 정책]

- iptable의 정책을 모두 삭제 후 80포트로 출발 하는 TCP 프로토콜을 차단 하도록 하였다.

[결과]

- 80번 포트를 출발하는 TCP의 INPUT을 차단한 결과 3 way hand shaking이 이뤄지지 않고 방화벽에 부딪혀 SYN/ACK 신호를 계속 보내게 된다.  

[iptable OUTPUT 차단정책]

- 80번 포트가 도착지인 TCP 프로토콜을 차단하였다. 


[결과]

- 사용자의 쿼리 요청은 있었지만 도착지가 80번 포트인 웹서버에 SYN신호도 주지 못하기 때문에 웹서버는 종료 신호를 보내게 된다. 

[기본 iptable 정책]

- 기본 iptable의 정책은 [#/etc/sysconfig/iptables]에 저장 되어 있다. 따라서 편집을 통해 기본 정책을 등록/삭제/편집 할 수 있다.

[출처] 방화벽 설정(iptable)|작성자 닌자죠스