iptables 기존에 연결된 접속 차단 방법이 있나요?

julggol의 이미지

안녕하세요?
iptables를 이용하여 리눅스 서버 하단의 컴퓨터를
특정 시간대에 모든 TCP, UDP 접속을 차단하고 있습니다.
하지만 차단 시작 시간 이전에 연결된 소켓은 차단 후에도
계속 통신이 되는 문제가 발생하네요.
이 문제를 해결할 수 있는 방법이 있을까요?
그럼 수고하세요...

snowall의 이미지

어차피 모든 접속을 끊는다면 네트워크 디바이스 자체를 restart시키면 될 것 같은데요
--------------------------
snowall의 블로그입니다.
http://snowall.tistory.com

피할 수 있을때 즐겨라! http://melotopia.net/b

julggol의 이미지

말씀하신 방법이 가장 편할듯 한데 이미 실행되고 있는 서버가 있어서 좀 곤란할듯 합니다.

monovision의 이미지

룰의 우선순위에 대한 문제일 확률이 다분하군요.
룰이 들어간 순서를 한 번 확인해 보세요.
아니면 filter table 말고 nat 나 raw table 의 PREROUTING 에다가 한 번 올려보세요.

julggol의 이미지

iptables 룰은 이미 등록되어 있구요 여기에 차단을 위한 DROP 테이블을 생성해서
차단시키고 있는데 기존 PREROUTING 테이블을 변경하라는 말씀이신가요?

monovision의 이미지

제가 말한 것은 룰의 우선순위를 말한 것입니다.

정확하게 어떤 상태인지는 모르겠지만, 아래 여러분들이 남겨주신 state 와는 상관없이 ACCEPT 하는 룰셋보다 더 상단에서 DROP 을 해버리면 state 와는 상관없이 막혀버립니다.
iptables-save 로 현재의 룰셋을 남겨주시면 보다 정확한 답변을 해 드릴수가 있습니다.

사랑천사의 이미지

말씀하시는게 무슨 뜻인지 모르지 않습니다.
다만, 저같은 경우, 그렇게 할 수 있다는 것에 대한 이야기를 했을 뿐이며 실제 상황에서의 적용은 적용하는 사람이 하는 것이 아닌가 합니다만...

당연히 DROP가 ACCEPT보다 먼저 나오면 그 항목에 걸려서 패킷이 짤린다는건 iptabless(혹은 ipchain도...)의 처리 방식을 아는 사람이라면 누구나 알고 있을 것입니다.

아무튼 그럼..
----
Lee Yeosong(이여송)
E-Mail: yeosong@gmail.com
HomePage: http://lys.lecl.net/
Wiki(Read-Only): http://lys.lecl.net/wiki/
Blog: http://lys.lecl.net/blog
MSN: ysnglee2000@hotmail.com
----
절이 싫으면 중이 떠나는 것이 아니라, 절이 싫으면 중이 절을 부숴야 한다.

사람천사

monovision의 이미지

제가 그렇게 어려운 말을 쓴건 아닌것 같은데 무슨 뜻인지 모르시겠다고 하니.. 난감합니다. ^^;;;

Quote:
당연히 DROP가 ACCEPT보다 먼저 나오면 그 항목에 걸려서 패킷이 짤린다는건 iptabless(혹은 ipchain도...)의 처리 방식을 아는 사람이라면 누구나 알고 있을 것입니다.

언급하신 것처럼 아주 당연한 얘기를 했을 뿐입니다.

누구나 다 아는 것처럼 생각되지만 그렇지 않기 때문에 이처럼 질문을 하고 답변을 하는게 아닐까요 ?
iptables 관련 문의를 받아보면 대부분이 룰셋 자체는 정확한데 우선순위를 전혀(!) 생각하지 않아 원하는 동작을 얻을 수가 없는 경우가 대부분입니다.

p.s
- 정확하게 어떤 부분때문에 모르겠다는건지 알려주세요.

다콘의 이미지

state 관련해서도 살펴 보시는게 좋을듯 합니다.
new는 막는데 established나 related는 통과 시키는지 보세요.

사랑천사의 이미지

State를 지정하지 않으셨다면, -f 옵션을 규칙에 같이 넣어 주면 될 겁니다.
----
Lee Yeosong(이여송)
E-Mail: yeosong@gmail.com
HomePage: http://lys.lecl.net/
Wiki(Read-Only): http://lys.lecl.net/wiki/
Blog: http://lys.lecl.net/blog
MSN: ysnglee2000@hotmail.com
----
절이 싫으면 중이 떠나는 것이 아니라, 절이 싫으면 중이 절을 부숴야 한다.

사람천사

사랑천사의 이미지

-R 옵션으로 교체를...
----
Lee Yeosong(이여송)
E-Mail: yeosong@gmail.com
HomePage: http://lys.lecl.net/
Wiki(Read-Only): http://lys.lecl.net/wiki/
Blog: http://lys.lecl.net/blog
MSN: ysnglee2000@hotmail.com
----
절이 싫으면 중이 떠나는 것이 아니라, 절이 싫으면 중이 절을 부숴야 한다.

사람천사

ymir의 이미지

차단은 되는데, 기존것은 된다는 것 보면...
차단 룰에서 SYN 패킷만 차단하고 있는건 아닌지 확인해 보시는게..?

되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』

되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.