[완료]iptables 설정을 하는데 막히는 부분이 있어서...
글쓴이: con183 / 작성시간: 월, 2010/03/15 - 3:02오후
한 리눅스에 여려 network가 연결되어있고 이 리눅스에 iptables 설정을 하려고 합니다.
일단 제가 지금 막히는 부분이..
1이라는 네트워크는 0네 트워크에 a호스트의 ping 요청을 제외한 모든 외부로부터의 데이터를 차단하고 1에서 나가는 모든 데이터는 자유롭게 전달이 되어야 합니다..
그래서
iptables -A FORWARD -o 1 -i 0 -j DROP
iptables -A OUTPUT -o 1 -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -o 1 -s (a HOST IP) -j ACCEPT 이렇게 주었는데요...
HOST a에서 1 네트워크에 있는 HOST한테 ping을 하니깐 호스트에 연결할 수 없다고 뜨네요;;
뭐가 잘못 된 건지 모르겠네요.. 조언 부탁드립니다.. 'ㅂ';
Forums:
저도 잘 모르지만,
저도 잘 모르지만, iptables -A OUTPUT -o 1 -j DROP 외에 a 호스트에 대한 예외를 추가로 줘야 하지 않을까요?
흐...
무슨 말씀이신지 감이 안잡히네요 'ㅂ';
iptables는 먼저 등록된
iptables는 먼저 등록된 정책에 우선합니다.
iptables -A FORWARD -o 1 -i 0 -j DROP
iptables -A OUTPUT -o 1 -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -o 1 -s (a HOST IP) -j ACCEPT
라고하면 당연히 맨처음의 "iptables -A FORWARD -o 1 -i 0 -j DROP"에 의해서 차단됩니다.
icmp 정책이 맨처음에 있어야 합니다. - -;;;
그리고 참고로 iptables -vnL 를 통해서 보면 카운트가 나옵니다. 실제 테스트 해보고 count가 올라가면 해당 정책에 패킷이 걸린거지요. 그러면서 추적을 하거나 혹은 로그를 찍어서 추적하시면 정책 수립에 도움이 됩니다.
아아아 'ㅂ';
순서 떄문에 그런가 긴가민가 했었는데...감사합니다 'ㅂ';
댓글 달기