리눅스 iptables: Difference between revisions

From IT Wiki
No edit summary
(문서를 비움)
Tag: Blanking
 
Line 1: Line 1:
[[분류:리눅스]][[분류:리눅스 프로그램]]
==개요==
리눅스의 패킷 필터링(Packet Filtering) 도구로서 방화벽 구성이나 NAT(Network Address Translation)에 사용된다.


==사용법==
<pre class='shell'>
# iptables  [-t 테이블] [액션] [체인] [매치] [-j 타겟]
</pre>
===테이블(Table)===
* filter, nat, mangle, raw
* 명시하지 않으면 기본적으로 filter이다.
===액션(Action)===
* -A: APPEND: 정책 추가
* -I: INSERT: 정책 삽입
* -D: DELETE: 정책 삭제
* -R: REPLACE: 정책 교체
* -F: FLUSH: 모든 정책 삭제
* -P: POLICY: 기본 정책을 설정
* -L: LIST: 정책 나열
===체인(Chain)===
* INPUT
* OUTPUT
* FORWARD
* PREROUTING
* POSTROUTING
=== 매치(Match) ===
* -s: 출발지 매칭. 도메인, IP 주소, 넷마스크 값을 이용하여 표기(––source, ––src)
* -d: 목적지 매칭. 도메인, IP 주소, 넷마스크 값을 이용하여 표기(––destination, ––dst)
* -p: 프로토콜과 매칭. TCP, UDP, ICMP 와 같은 이름을 사용하고 대소문자는 구분하지 않음
* -i: 입력 인터페이스와 매칭(––in-interface)
* -o: 출력 인터페이스와 매칭(––out-interface)
* -j: 매치되는 패킷을 어떻게 처리할지 지정 (--jump)
== 타깃(target) ==
패킷이 규칙과 일치할 때 취하는 동작을 지정한다.
* ACCEPT: 패킷을 허용한다.
* DROP: 패킷을 버린다(패킷이 전송된 적이 없던 것처럼)
* REJECT: 패킷을 버리고 이와 동시에 적절한 응답 패킷을 전송한다.(icmp-port-unreachable)
* LOG: 패킷을 syslog에 기록한다.
* SNAT --to [주소]: 소스 IP를 [변환(NAT)|NAT]한다.
* DNAT --to [주소]: 목적지 IP를 변환(NAT)한다.
* RETURN: 호출 체인 내에서 패킷 처리를 계속한다.
== 정책 열람·저장·반영 ==
* 보기
<pre class='shell'>
# iptables -L
또는
# cat /etc/sysconfig/iptables
</pre>
* 차단 횟수 및 byte 수 포함하여 보기
<pre class="shell">
# iptables -L -nvx
</pre>
* 저장
<pre class="shell">
# service iptables save
또는
# iptables-save
</pre>
* 저장 & 불러오기
<pre class='shell'>
# iptables-save > firewall.sh
# iptables-restore < firewall.sh
</pre>
* '''정책을 추가한 다음 save만 하면 된다. 서비스를 restart할 필요는 없다.'''
== 예제 ==
=== 특정 IP 및 IP 대역 차단 ===
(참고) IDS/IPS나 WAF로부터 악성 공격을 일삼는 IP를 차단하는 경우 C 클래스 대역을 통째로 차단해주는 것을 권장한다. (특히 해외 IP인 경우)
* 차단 정책 적용 후 iptables-save를 꼭 해야 함을 명심하자
'''단순 차단 예제'''
* 192.168.10.22로부터 들어오는 패킷들은 차단하는 정책을 추가<ref>http://q.fran.kr/문제/2748 리눅스마스터 1급 1501 필기 기출문제</ref>
<pre class="shell">
# iptables -A INPUT -s 192.168.10.22 -j DROP
또는
# iptables -I INPUT -s 192.168.10.22 -j DROP
</pre>
* 192.168.10. 대역으로부터 들어오는 패킷들은 차단하는 정책을 추가
<pre class="shell">
# iptables -A INPUT -s 192.168.10.0/24 -j DROP
또는
# iptables -I INPUT -s 192.168.10.0/24 -j DROP
</pre>
* 차단 정책 추가 시 코멘트(주석)를 추가해서 기록을 남겨주는 것이 좋다.
<pre class="shell">
# iptables -A INPUT -s 192.168.10.0/24 -j DROP -m comment --comment "bruteforce ip 20240516"
</pre>
* 앞단에 방화벽이나 LB가 있는 경우 X-Forwarded-For IP를 기준으로 해야 하는 경우도 있다.
<pre class="shell">
# iptables -A INPUT -m string --string "x-forwarded-for: 111.222.333.444" --algo bm --icase -j DROP
</pre>
* X-Forwarded-For를 쓸 때 대역으로 차단하고 싶다면 여기선 서브넷이 아닌 일부 IP만 적어야 한다. 문자열 일치 기준으로 검사하기 때문
<pre class="shell">
# iptables -A INPUT -m string --string "x-forwarded-for: 111.222.333" --algo bm --icase -j DROP
</pre>
=== 기본 차단, 인터페이스별 포워딩 ===
* '''예제 조건'''<ref>http://q.fran.kr/문제/6515 리눅스마스터 1급 1501 실기 기출문제</ref>
** 패킷은 거부 메시지 없이 무조건 거절한다. (DROP)
** 두 번째 이더넷카드(eth1)로 들어오는 패킷인 경우에만 포워딩을 허가한다.
** 어떠한 방화벽도 설정되어 있지 않고 커널에서 포워딩을 허가한 상태이다.
<pre class='shell'>
# iptables -P FORWARD DROP
# iptables -A FORWARD -i eth1 -j ACCEPT
</pre>
* '''예제 조건'''<ref>http://q.fran.kr/문제/6483 리눅스마스터 1급 1602 실기 기출문제</ref>
** 해당 시스템에는 이더넷 카드가 두 개가 장착되어 있는데, 첫 번째 이더넷 카드에서 나가는 패킷에 대해 공인 IP 주소인 203.247.40.100을 할당한다.
<pre class='shell'>
# iptables –t nat –A POSTROUTING -o eth0 –j SNAT --to 203.247.40.100
</pre>
* '''예제 조건'''<ref>http://q.fran.kr/문제/6547 리눅스마스터 1급 1701 실시 기출문제</ref>
** 첫 번째로 기존에 설정된 정책을 전부 삭제한다.
** 두 번째로 INPUT 체인에 loopback 인터페이스에 들어오는 모든 패킷에 대해 허용 정책을 추가 한다.
** 세 번째로 INPUT 체인에 프로토콜이 tcp이며 목적지포트가 22번부터 23번 포트인 패킷에 대해 허용 정책을 추가 한다.
** 마지막으로 INPUT 체인에 대한 기본 정책을 거부 메시지 없이 거절로 변경한다.
<pre class='shell'>
# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p tcp --dport 22:23 -j ACCEPT
# iptables -P INPUT DROP
</pre>
* '''예제 조건'''<ref>http://q.fran.kr/문제/6499 리눅스마스터 1급 1502 실시 기출문제</ref>
** 서버에서 외부로는 ping 테스트가 되고 외부에서 서버쪽으로는 ping 테스트가 되지 않도록 한다.
** iptables 명령어를 수행하는 서버의 IP는 192.168.10.1이다.
** INPUT 체인의 기본 정책은 DROP이다.
**# 프로토콜은 icmp이며 icmp echo request 패킷이 외부로 나가는 것에 대해 허용한다.
**# 프로토콜은 icmp이며 외부에서 들어오는 icmp echo reply 패킷에 대해서 허용한다.
**# 프로토콜은 icmp이며 외부에서 들어오는 icmp destination-unreachable 패킷에 대해서 허용한다.
<pre class='shell'>
# iptables –A INPUT -p icmp --icmp-type echo-request -s 192.168.10.1 –d 0/0 -j ACCEPT
# iptables –A INPUT -p icmp --icmp-type echo-reply -s 0/0 –d 192.168.10.1 -j ACCEPT
# iptables –A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 –d 192.168.10.1 -j ACCEPT
</pre>
* '''예제 조건'''
** 로드 밸런서나 프록시 등을 통해 들어온 경우X-Forwarded-For을 사용하여 차단
** String을 기반으로 차단 규칙 설정
<pre class="shell">
# iptables -I INPUT -p tcp --dport 80 -m string --string "X-Forwarded-For: 111.222.111.222" --algo bm -j DROP
</pre>
* '''예제 조건'''<ref>http://q.fran.kr/문제/2963 리눅스마스터 1급 1601 필기 기출문제</ref>
** 대상 프로토콜 SSH
** 같은 IP 주소에서 60초 동안에 15번 이상 접속을 시도하면 DROP시키는 정책을 추가
<pre class='shell'>
# iptables -A SSH -p udp --dport 22 -m recent --update--seconds 60 --hitcount 15 -j drop
</pre>
* '''삭제'''
** --line-number 옵션을 통해 정책의 번호를 확인한다.
<pre class='shell'>
iptables -L --line-numbers
</pre>
** -D 옵션을 지정하여 특정 번호의 정책을 삭제한다.
<pre class='shell'>
iptables -D INPUT [번호]
</pre>
== 참고 문헌 ==

Latest revision as of 12:54, 28 June 2024