익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
리눅스 iptables
편집하기 (부분)
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
== 예제 == * 192.168.10.22로부터 들어오는 패킷들은 차단하는 정책을 추가<ref>http://q.fran.kr/문제/2748 리눅스마스터 1급 1501 필기 기출문제</ref> <pre class='shell'> # iptables -A INPUT 192.168.10.22 -j DROP 또는 # iptables -I INPUT 192.168.10.22 -j DROP </pre> * 192.168.10. 대역으로부터 들어오는 패킷들은 차단하는 정책을 추가 <pre class='shell'> # iptables -A INPUT 192.168.10.0/24 -j DROP 또는 # iptables -I INPUT 192.168.10.0/24 -j DROP </pre> * '''예제 조건'''<ref>http://q.fran.kr/문제/6515 리눅스마스터 1급 1501 실기 기출문제</ref> ** 패킷은 거부 메시지 없이 무조건 거절한다. (DROP) ** 두 번째 이더넷카드(eth1)로 들어오는 패킷인 경우에만 포워딩을 허가한다. ** 어떠한 방화벽도 설정되어 있지 않고 커널에서 포워딩을 허가한 상태이다. <pre class='shell'> # iptables -P FORWARD DROP # iptables -A FORWARD -i eth1 -j ACCEPT </pre> * '''예제 조건'''<ref>http://q.fran.kr/문제/6483 리눅스마스터 1급 1602 실기 기출문제</ref> ** 해당 시스템에는 이더넷 카드가 두 개가 장착되어 있는데, 첫 번째 이더넷 카드에서 나가는 패킷에 대해 공인 IP 주소인 203.247.40.100을 할당한다. <pre class='shell'> # iptables –t nat –A POSTROUTING -o eth0 –j SNAT --to 203.247.40.100 </pre> * '''예제 조건'''<ref>http://q.fran.kr/문제/6547 리눅스마스터 1급 1701 실시 기출문제</ref> ** 첫 번째로 기존에 설정된 정책을 전부 삭제한다. ** 두 번째로 INPUT 체인에 loopback 인터페이스에 들어오는 모든 패킷에 대해 허용 정책을 추가 한다. ** 세 번째로 INPUT 체인에 프로토콜이 tcp이며 목적지포트가 22번부터 23번 포트인 패킷에 대해 허용 정책을 추가 한다. ** 마지막으로 INPUT 체인에 대한 기본 정책을 거부 메시지 없이 거절로 변경한다. <pre class='shell'> # iptables -F INPUT # iptables -A INPUT -i lo -j ACCEPT # iptables -A INPUT -p tcp --dport 22:23 -j ACCEPT # iptables -P INPUT DROP </pre> * '''예제 조건'''<ref>http://q.fran.kr/문제/6499 리눅스마스터 1급 1502 실시 기출문제</ref> ** 서버에서 외부로는 ping 테스트가 되고 외부에서 서버쪽으로는 ping 테스트가 되지 않도록 한다. ** iptables 명령어를 수행하는 서버의 IP는 192.168.10.1이다. ** INPUT 체인의 기본 정책은 DROP이다. **# 프로토콜은 icmp이며 icmp echo request 패킷이 외부로 나가는 것에 대해 허용한다. **# 프로토콜은 icmp이며 외부에서 들어오는 icmp echo reply 패킷에 대해서 허용한다. **# 프로토콜은 icmp이며 외부에서 들어오는 icmp destination-unreachable 패킷에 대해서 허용한다. <pre class='shell'> # iptables –A INPUT -p icmp --icmp-type echo-request -s 192.168.10.1 –d 0/0 -j ACCEPT # iptables –A INPUT -p icmp --icmp-type echo-reply -s 0/0 –d 192.168.10.1 -j ACCEPT # iptables –A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 –d 192.168.10.1 -j ACCEPT </pre> * '''예제 조건''' ** 로드 밸런서나 프록시 등을 통해 들어온 경우X-Forwarded-For을 사용하여 차단 ** String을 기반으로 차단 규칙 설정 <pre class="shell"> # iptables -I INPUT -p tcp --dport 80 -m string --string "X-Forwarded-For: 111.222.111.222" --algo bm -j DROP </pre> * '''예제 조건'''<ref>http://q.fran.kr/문제/2963 리눅스마스터 1급 1601 필기 기출문제</ref> ** 대상 프로토콜 SSH ** 같은 IP 주소에서 60초 동안에 15번 이상 접속을 시도하면 DROP시키는 정책을 추가 <pre class='shell'> # iptables -A SSH -p udp --dport 22 -m recent --update--seconds 60 --hitcount 15 -j drop </pre> * '''삭제''' ** --line-number 옵션을 통해 정책의 번호를 확인한다. <pre class='shell'> iptables -L --line-numbers </pre> ** -D 옵션을 지정하여 특정 번호의 정책을 삭제한다. <pre class='shell'> iptables -D INPUT [번호] </pre>
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록