Iptables Rule 설정 관련
안녕하세요..
CentOS 2.6에서 iptables 테스트 중입니다.
몇가지 질문 내용이 있어서 문의 드립니다.
1. 아래의 /etc/sysconfig/iptables 화일을 보면 ,
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
위의 부분이 있는데 [0:0]의 의미는 무엇인가요 ?? 어떤 경우에는 [0:0}이 아닌 경우가 있더라고요 ??
2. command 창에서 forward 룰을 추가 하기위해서 ,
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
이런 식으로 룰을 추가하는대요.
/etc/sysconfig/iptables 화일을 수정해서 리눅스가 재부팅 되어도 설정된 룰을 유지하려고 합니다.
-A FORWARD -m state --state ESTABLISHED -j ACCEPT 식으로 입력하면 되나요 ?
아니면 RH-Firewall-a-FORWARD 이런 식으로 시작해야 하나요 ??
새로운 RH-Firewall-1-INPUT chain을 만들어 준것 같은대요 ?
forward 룰을 위해서 새로운 chain을 만들어야 하는건가요 ??
감사합니다.
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
1. 패킷:바이트
1. 패킷:바이트 카운터입니다. 초기에는 매칭된 패킷이 없기때문에 0입니다
2. 중간쯤 "-A FORWARD -j RH-Firewall-1-INPUT"룰 보이죠? forward/input chain 둘다 RH-Firewall-1-INPUT 로 보내지고, 이 체인에는 같은 룰이 있기 때문에 따로 안넣어도됩니다.
댓글 달기