IPTABLES

개요

iptables 명령어로 리눅스 서버 IN/OUT 패킷을 필터링 하거나 NAT 설정을 할 수 있다.특정 조건을 통해 다양한 방식의 패킷 필터링과 처리 방식을 지원 순차적 실행으로 정책 Top-Down 방식으로 정책이 유효하다.설정 파일 위치 : /etc/sysconfig/iptables

iptables 서비스 설치

RHEL/CentOS 7부터는 방화벽을 firewalld 라는 데몬으로 교체했고 프로그램은 iptables 명령어 대신 CLI에서는 firewall-cmd, GUI에서는 firewall-config를 사용하게 되었다.

1. firewalld 서비스 중단 후 mask
$ systemctl stop firewalld

$ systemctl status firewalld

$ systemctl mask firewalld

2. iptables 설치 후 실행
$ yum install -y iptables-services

$ systemctl start iptables

$ systemctl enable iptables

iptables 데몬 제어 명령어

1. 실행/중지/재시작/상태확인
$ systemctl start iptables
$ systemctl stop iptables
$ systemctl restart iptables
$ systemctl status iptables

2. 정책 저장 
$ service iptables save

사용법

iptables [-t table] [action] [chain] [matches] -j [target]

table

filter - iptables의 기본 테이블로 패킷 필터링
nat - IP 주소 변환
mangle - 패킷 데이터를 변경하는 특수 규칙을 설정하거나 성능 향상을 위한 ToS 설정 raw - netfilter의 연결 추적 하위 시스템과 독립적으로 동작해야 하는 규칙을 설정

$ iptables -t nat -nvL # nat 테이블 확인

Chain PREROUTING (policy ACCEPT 2450 packets, 193K bytes)
 pkts bytes target     prot opt in     out     source               destination
 1190 61896 DOCKER     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT 1508 packets, 105K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 22608 packets, 2234K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DOCKER     all  --  *      *       0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT 22608 packets, 2234K bytes)
 pkts bytes target     prot opt in     out     source               destination
   16  1054 MASQUERADE  all  --  *      !docker0  172.17.0.0/16        0.0.0.0/0

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 RETURN     all  --  docker0 *       0.0.0.0/0            0.0.0.0/0

명시하지 않으면 기본적으로 filter

action

-A (--append) : 새로운 정책을 추가
-I (--insert) : 위치를 선택하여 정책을 삽입 # iptables -I INPUT 2 (2행에 추가)
-D (--delete) : 정책을 삭제
-R (--replace) : 정책을 교체
-F (--flush) : 체인으로부터 모든 정책 삭제
-P (--policy) : 기본 정책을 설정
-L (--list) : 정책 목록을 확인

chain

INPUT - 서버로 들어오는 패킷은 INPUT 체인을 통과
OUTPUT - 서버에서 나가는 패킷은 OUTPUT 체인을 통과
FORWARD - 서버가 목적지가 아닌 모든 패킷은 FORWARD 체인을 통과

match

매치 옵션을 통해서 세부적인 패킷을 지정할 수 있음

-s (--source, --src) : 출발지, 도메인 or ip or 넷마스크 값
--sport : 출발지 포트
-d (--destination, --dst) : 목적지 , 도메인 or, ip or 넷마스크 값
--dport : 목적지 포트 -p : 프로토콜 TCP, UDP, ICMP와 같은 IP 프로토콜
-i (--in-interface) : 입력 인터페이스
-o (--out-interface) : 출력 인터페이스
-m (--match) : 특정 모듈 사용 (보통 state 모듈 사용)
--state : 연결 상태 (NEW, ESTABLISHED, RELATED, INVALID)
--line : 줄번호 출력 -j (--jump) : 규칙에 맞는 패킷의 행동

target

조건에 매칭되는 패킷을 어떻게 처리할 것인지 지정하는 부분

ACCEPT : 매칭되는 패킷 허용
DROP : 매칭되는 패킷 거부
LOG : 매칭되는 패킷 로그 저장
REJECT : 매칭되는 패킷 거부 (TCP-RST, UDP-ICMP Port Unreachable)
RETURN : 체인 내에서 패킷 처리를 계속함 (재귀)

백업, 복원

규칙 저장
$ iptables-save > /root/firewall.rules

규칙 복원
$ iptables-restore < /root/firewall.rules

연결 추적(Connection Tracking)

iptables는 연결 추적(Connection Tracking)이라는 방법을 사용하여 내부 네트워크 상 서비스 연결 상태에 따라서 그 연결을 감시하고 제한할 수 있게 해준다.

연결 추적 방식은 연결 상태를 표에 저장하기 때문에, 다음과 같은 연결 상태에서 따라서 시스템 관리자가 결을 허용하거나 거부할 수 있다.

NEW - 새로운 연결을 요청하는 패킷
ESTABLISHED - 기존 연결의 일부인 패킷
RELATED - 기존 연결에 속하지만 새로운 연결을 요청하는 패킷
INVALID - 연결 추적표에서 어디 연결에도 속하지 않은 패킷

상태에 기반(Stateful)한 iptables 연결 추적 기능은 어느 네트워크 프로토콜에서나 사용 가능, UDP와 같이 상태를 저장하지 않는(Stateless) 프로토콜에서도 사용할 수 있다.

$ iptables -I INPUT 1 -t tcp --dport 22 -j ACCEPT
$ iptables -I OUTPUT 1 -m state --state ESTABLISHED -j ACCEPT

위 예제와 같이 INPUT에서 SSH 허용 후 OUTPUT에서 ESTABLISHED를 허용해주면

OUTPUT에서 다른 정책 추가 없이 Client는 SSH 접속이 가능하다.

예제

서버로 들어오는 TCP 22(SSH) ACCEPT 정책을 1행에 추가
$ iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT 

서버로 들어오는 UDP 53(DNS) DROP 정책을 1행에 추가
$ iptables -I INPUT 1 -p udp --dport 53 -j DROP 

서버로 들어오는 새로운 통신이 SYN 패킷이 아닌 경우 DROP 정책을 1행에 추가
$ iptables -I INPUT 1 -p tcp ! --syn -m state --state NEW -j DROP

서버에서 나가는 새로운 통신을 ACCEPT 정책을 1행에 추가
$ iptables -I OUTPUT 1 -m state --state NEW -j ACCEPT 

조각난 패킷 차단
$ iptables -A INPUT -f -j DROP

PreviousRTO NextFortigate

Last updated 1 year ago