현재 위치

›› Forums ›› 공부 ›› 프로그래밍 QnA

리눅스 iptables 22번포트 열기

hongjun423의 이미지
글쓴이: hongjun423 / 작성시간: 월, 2016/03/28 - 9:38오후

centos7에서 iptables을 공부하는 중 입니다.
아무리 해봐도 도저히 모르겠어서요..

일단 /etc/sysconfig/iptables 파일입니다.
-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP

-A INPUT -p tcp -m tpc --dport 22 -j ACCEPT

COMMIT

이상태 입니다
-P옵션으로 인풋,아웃풋,포워드 기본정책을 모두 드랍으로 설정후
-A옵션으로 새로운 규칙을 추가했는데요 (22번 포트 accept)
저의 생각이 맞다면 iptables를 restart했을때 모든 인풋,아웃풋등을 드랍 한뒤 22번 포트만 열게 되는것인데
아무리 해도 ssh가 안붙어서요
왜그런건지 궁금 합니다.

추가로
:INPUT ACCEPT [0:0]
:INPUT OUTPUT [0:0] 이게 무슨뜻인지도 궁금 합니다.

Forums: 
프로그래밍 QnA
akayong의 이미지

글쓴이: akayong / 작성시간: 화, 2016/03/29 - 9:28오전

iptable에는 세팅 된 순서대로 체크를 하고 넘어갑니다.

1. -p input drop
2. -p output drop
3. -p forward drop
4. -a input -p tcp -m tpc --dport 22 -j accept

순서대로 세팅이 되어 있고
ssh 로 접속을 시도 하면

1번부터 확인을 합니다. 어..? 1번에서 input에 대해서 다 드랍이네??
그럼 여기 매칭 되니깐 뒷 내용은 체크 하지 않고 넘어 가게 되지요.

그래서 위와 같은 내용으로 설정을 하려먼
4번을 제일 위로 올리고
그 후에 1,2,3번을 세팅 해 주어야 합니다.

hongjun423의 이미지

글쓴이: hongjun423 / 작성시간: 화, 2016/03/29 - 10:10오전

궁금한게 있는데 4번을 가장 처음 으로 설정해서 22번 포트를 연 뒤
뒤에 1, 2, 3번을 순서대로 설정하면
열었던 22번 포트를 뒤에서 1번을 실행할때 다시 닫는건 아닌가요??

처음 제 생각은 1,2,3번을 순서대로 설정해서 일단 모두 닫은 다음
4번을 마지막에 설정해서 22번만 연다. 였는데 생각했던거랑 다른가 봐요

akayong의 이미지

글쓴이: akayong / 작성시간: 화, 2016/03/29 - 11:17오전

chanik님 말씀대로, p는 기본 정책(policy) 로 해당 되는게 없으면 저걸 따른다이고

제가 말씀 드린건... 다 그냥 a로 생각하고 말씀을 드렸네요..

밑에 chanik님이 잘 설명을 해 주셨으니, 아래 내용 참고 하시면 될것같습니다

chanik의 이미지

글쓴이: chanik / 작성시간: 화, 2016/03/29 - 10:23오전

INPUT 체인의 기본정책이 DROP일 경우,
일단 INPUT 체인에 추가된 규칙들을 차례로 테스트하고
그 규칙들에서 처리방침이 결정되지 않은 패킷들에 대해 DROP 정책이 적용됩니다.

지금 SSH 통신이 안 되는 이유는,
들어오는 패킷 처리를 위한 INPUT 체인만 허용되어 있을 뿐
나가는 패킷은 OUTPUT 체인 DROP 정책에 의해 모두 막아뒀기 때문입니다.

아래와 같이 OUTPUT 체인의 기본정책을 ACCEPT로 바꿔주면 동작할 것입니다.

$ cat iptables-test
*filter
-P INPUT DROP
-P OUTPUT ACCEPT
-P FORWARD DROP
 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
 
COMMIT
 
$ sudo iptables-apply iptables-test
Applying new iptables rules from 'iptables-test'... done.
Can you establish NEW connections to the machine? (y/N) y

그리고, loopback interface를 통한 통신(예: ssh localhost)을 열어주기 위해
아래의 규칙도 추가해주면 좋을 것 같습니다.

-A INPUT -i lo -j ACCEPT

chanik의 이미지

글쓴이: chanik / 작성시간: 화, 2016/03/29 - 11:06오전 

-P INPUT DROP
-P OUTPUT ACCEPT
-P FORWARD DROP

체인의 기본정책을 명시하는 위 설정은 아래와 같이 써도 됩니다.

:INPUT DROP
:OUTPUT ACCEPT
:FORWARD DROP

그리고, INPUT DROP [0:0] 식으로 표기되는 [N:M] 안의 숫자는
해당 기본정책으로 처리된(지금의 예로는 DROP된) 패킷의 갯수와
그 총량을 각각 나타내는 것이라고 합니다.
(참고 : http://unix.stackexchange.com/questions/108171/what-do-numbers-in-input-forward-output-chains-mean-in-iptables-config-file)

규칙을 설정할 때는 굳이 [N:M] 항목을 써 줄 필요도 없습니다.
다만, iptables-save 명령으로 현재의 규칙을 저장할 때는
이 항목이 자동으로 작성되는 것 같습니다.
제가 관리하는 서버에도 이 항목이 자동생성되어 있네요.

hongjun423의 이미지

글쓴이: hongjun423 / 작성시간: 수, 2016/03/30 - 9:06오전

iptable 이 어떻게 동작하는지 바로 이해 됐어요
감사합니다!!

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.