[완료]iptables와 icmp protocol에 대한 질문입니다.

tatchi의 이미지

안녕하세요.

제목과 같이 iptables와 icmp protocol에 대한 질문입니다.

현재 네트워크 구성은 다음과 같습니다.

외부Internet ========= 중간 server ============ 개인 server

중간 server는 다른 게 없고 bridge 설정만 되어 있습니다.

질문입니다.

iptables -A FORWARD -p icmp -j DROP

위와 같이 설정하면 ping이 잘 나갑니다.

iptables -A INPUT -p icmp -j DROP
또는,
iptables -A OUTPUT -p icmp -j DROP

위와 같이 설정하면 ping이 나가지 않습니다.

2번은 당연하다고 생각하는 것이, INPUT이나 OUTPUT chain에 패킷이 들어갔을 때, rule이 DROP으로 적용되어 있으므로, ping이 나가지 않을 것입니다.

제가 궁금한 점은 1번과 같은 rule 설정 시에는 왜 패킷이 drop되지 않느냐는 것입니다.

Netfilter 구성에서, 위 그림의 '중간 server'이 destination이 아닌 패킷은 FORWARD로 넘어간다고 알고 있습니다. 즉, ping과 관련된 패킷이 '중간 server'의 INPUT -> FORWARD -> OUTPUT chain을 타고 갈 거라고 예상했었죠.

하지만 INPUT, OUTPUT rule은 적용되는데 FORWARD rule이 적용되지 않는 것을 봐서 ping 패킷이 중간 server의 FORWARD chain로 들어가지 않는 게 아닌가 생각이 들어서요.

'중간 server'가 ping을 reply할 녀석인지 확인해야 하기 때문에 '중간 server'의 내부로 들어가는 것이다, 이것이 제가 잠정적으로 내린 결론입니다.

이것이 icmp 프로토콜의 특징인지, 아니면 제가 FORWARD chain에 대해서 잘못 이해하고 있는 지, 제가 마지막으로 내린 결론이 옳은 지 궁금합니다.

감사합니다.

감사합니다.

익명 사용자의 이미지

먼저... bridge 설정이 되어 있다면 FORWARD chain 에 걸려야 하는게 정상입니다.

ping 을 어디서 날리셨나요 ?
외부 Internet 과 개인 server 에서 날리신거 맞나요 ? 그러면 반드시 FORWARD 체인에 걸려야 합니다.
중간 server 에서 날렸다면 input 과 output 체인에 걸립니다.

그럼...

아... 체인에 신경 안 쓰고 무조건 icmp 를 막고 싶다면...

raw table 의 PREROUTING 에 걸면 됩니다.

tatchi의 이미지

개인 server에서 ping을 날리지 않고, 중간 server 앞단에 있는 server에서 ping을 날렸네요...
ㅠㅠ
이런 단순한 것도 확인하지 않았다니...!

감사합니다, 큰 도움이 되었습니다!
개인 server에서 ping을 날리니, 위 FORWARD chain rule을 적용할 때 기대했던 것과 같이 ping이 날아가지 않았습니다.
감사합니다!

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.