스터디그룹 > LINUX 게시판 > iptables 로 간단한 방화벽을 구축하자

리눅서 모임에서 가져옴

! iptables로 간단한 방화벽을 구축하자 !

/*허접하지만.. 약간의 도움이나마 됬으면 하는 마음에
글을 올려 봅니다 .. iptables 이런거구나 라는걸 알정도만 써봤습니다 ^^ */

# 초 참고 사항 #

이 글을 쓴 사람은 글 제주가 없다 -_-;;

1. iptables 란?

2. 기본적인 iptables의 이해

3. iptables " packet 필터링 "

4. chain을 다루어 보자

1. iptables 란?

Kernel 2.4.x 기반의 linux 설치시
기본적으로 설치되는 방화벽으로 Kernel 2.4.x 이라면
iptables and ipchains 를 모두 가지고 있을것입니다
전 여기서 iptables 의 사용법을 간략하게 소개 하고자 합니다 ^0^

2. 기본적인 iptales의 이해

iptables 에는 3가지 chain이 있습니다

INPUT : 들어 오는 패킷
OUTUP : 나가는 패킷
FORWARD : 하나의 네트워크에서 다른 곳으로 보내지는 패킷

이 3가지 기본적인 chain에 rule 을 세움으로써 iptables가 동작
하게 되는것이저

INPUT chain ---------- rule1
│
├---- rule2
│
└---- rule3
OUTPUT chain --------- rule1
│
├---- rule2
│
└---- rule3
FORWARD chain -------- rule1
│
├---- rule2
│
└---- rule3
각각의 chain에 어떤 rule을 세우는가에 따라 패킷의 운명이 결정 되겠저 ?

3. iptables " 기본적인 packet 필터링 "

# 알고 갑시다 #

ACCEPT 패킷을 허용해라
DENY   무시하되 상대방이 무시했다는것을 알려라
DROP   그냥 무시해뿌려라 ( 일명 쌩까 ㅡㅡ;;; )

아 ... 난 정말 저 사람이 시로 접속을 막아 뿌리고 시포
라고 생각하시는 분들 ??
여기에 바로 그 해답이 있습니다

iptables -A INPUT -s 211.233.23.35 -j DROP

한번 그 속뜻을 집고 넘어가 볼까여 ?

-A : 이 옵션은 어떤 chain에 규칙을 추가할지를 선택하는 옵션입니다 즉 위에
서 보셨듯이
   iptables에 있는 3가지 기본적인 chain중에 자신이 원하는 chain에 rule
을 세우기 위함이저
   -A INPUT 이 줄은 INPUT chain 즉 들어오는 패킷을 말하는것이 됩니다.

-s : 엇 이 옵션 뒤에 ip주소가 왔네 ?
   눈치가 있으신분 벌써 감오저 ^^?? ip주소를 뜻하는거저 source ip
   즉 -s 211.233.23.35 이것은 211.233.23.35로 부터 오는 packet 이라는
뜻을 가지게 되겠저
   만약 그 반대로 211.233.23.35로 packet을 가지 못하게 할때는 -d 옵션
을 쓰게 됩니다
   -d 211.233.23.35

-j : INPUT chain 에 요청하는 211.233.23.35 의 packet을 어쩌란 말인가??
즉 그 후를 정해주어야 겠저 그 패킷을
   어떻게 처리 할것인가를 정하는 옵션입니다 즉 -j DROP 은 그 패킷은 완
전히 무시해라 이런 뜻이 되겠습니다

전부 조합하여 보면 내 서버로 들어오는 211.233.23.35의 아이피주소를 가진
패킷을 무시해버려라 이런 뜻이 됩니다

이제 조금 감이 잡히셨을듯 하니 좀더 다른걸 배워볼까영 ^^
이런 경우가 생기겠저 어떤 특정 service 로 들어오는 packet 을 차단하고 싶
을경우가여
예를 들어 텔넷으로 오는 211.233.23.35의 패킷을 무시하고 싶다

iptables -A INPUT -s 211.233.23.35 -p tcp --dport 23 -j DROP

세로운 옵션이 추가 되었습니다 -p 라는 옵션이지여 -p 라는 옵션은 프로토콜
을 지정해 주는 옵션입니다 예를 들어
tcp , udp , icmp 이런것들이 있을것입니다
-p 옵션뒤에 tcp 라고 지정된것은 telnet 연결요청은 tcp 즉 연결형 서비스 이
므로 tcp 프로토콜을 선택한것입니다
그러나 우린 tcp 프로토콜은 지정은 하였지만 어떤 service인지 포트를 지정하
지 않았습니다 바로 뒤에 옵션 보이시저 ^^
--dport 23 --dport란 --destination-port를 줄인 옵션이라고 생각하세여
^^ 특정 서비스를 선택하기 위해 포트를
지정해 주는것입니다 --dport 23   23번 포트로 들어오는 서비스를 차단해라
이런식이 되겠저
만약 반대의 경우로 허용해라 라면 --dport가 아니고 --sport 즉 --source-
port 이렇게 사용하시면 됩니다

풀어보면 INPUT chain으로 오는 211.233.23.35 의 tcp telnet 서비스에 대한
요청을 무시해라가 되는거저

흠.. 그렇다면 인터넷에서 오는 패킷만 막을수는 읍나 -_-a
당연히 가능하지여 자신이 속해있는 lan network 를 eth0 라하고 internet 연
결은 ppp0 로 지정 되있지여
즉 랜은 eth0 인터넷은 ppp0
자 이것을 이용해 봅시다
iptables -A INPUT -i ppp0 -p tcp --dport 23 -j DROP

-i 옵션 즉 input interface 를 뜻하는 것입니다 만약 그 반대의 output
interface 라면 -o 옵션을 사용합니다
즉 -i 옵션으로 인터넷이나 랜 등을 지정해주는게 되겠저 결국은 23번으로 들
어오는 tcp ( 인터넷에서의 ) 연결은 모조리 DROP
되게 되는겁니다 이걸 좀더 응용하면 멋진게 나오겟네여

iptables -A INPUT -i ppp0 -p tcp --dport ! 80 -j DROP 어라 저기 보이는
저 ! <--- 요건 모야?
이건 부정하는거저 반대 간단히 말해 아니다 -_-;;; 80 번 포트가 아닌 이런
뜻이 되버리겠저 ?
즉 웹서버가 돌아가는 서버라면 80번 포트를 제외한 모든 인터넷에서의 tcp 요
청은 거절 됩니다
하지만 저렇게 해버린다면 문제가 생기게 됩니다

인터넷 상에서 모든 모든 포트를 막음으로써 골때리는 일이 벌어지게 되저
예를 들어   야 나 서비스좀 받자 하고 요청 패킷을 보냈다고 칩시다   그럼
상대 시스템에서도 어 그래 연결해 이런식으로 요청을
받았다는 패킷이 와야되저   그런데 .. 모든 포트를 홀라당 막아 부려쓰니 아
니 무슨수로 그래 나 니 연결 요청 받아써 연결하자 라는
이 패킷을 제가 받을수 있을까여 ?? 이런걸 syn 이라고 합니다 즉 연결 요청
시에 syn packet 이 이용되는겁니다
그러니 우리는 들어오는 syn packet만 쌩까자
이렇게 생각하면 어떨까여 ?? 좀더 재미있어 지겠저 ^^? 우리쪽에서 보낸 syn
packet은 연결을 허용하고 우리에게 보내지는 syn packet은
무시하고 좋습니다 --syn 옵션이 바로 그 문제를 해결해 줄겁니다
iptables -A INPUT -i ppp0 -p tcp --syn --dport ! 80 -j DROP

--syn 옵션은 프로토콜을 지정한 -p tcp 옵션 뒤에 붙여 주면 됩니다
즉 80번 포트가아닌 모든 포트로의 tcp syn packet 요청을 거부하게 되는거저
그러면서도 우린 정상적인 사용을 할수 있겠저 ?

ㅋ ㅑ !!~~ 여기까지 오셨으면 이제 iptables가 어떻게 음직이고 또 어떻게 사
용하는가를 대충 아셨을거라 믿습니다 ^^
이젠 chain을 직접 다루어 보도록 합시다

4. chain을 다루어 보자

# 알고 갑시다 #
기본 적으로 INPUT과 OUTPUT chain은 ACCEPT FORWARD chain은 DENY로 지정되
어 있습니다

chain을 조절하는 옵션

1. 새로운 체인 만들기 (-N) 예 : iptables -N USER 유저라는 체인이 만들어
집니다 INPUT , OUTPUT , FORWARD , USER <--- 요 USER가 생성되는거저
2. 비어있는 체인을 제거하기 (-X) rule 없는 chain을 말하는 거겠저
3. 미리 만들어진 체인의 정책을 바꾸기 (-P) 예 : iptables -P INPUT DROP
4. 어떤 체인의 규칙들을 나열하기 (-L) 예 : iptables -L INPUT   INPUT
chain의 rule이 나열되겠저 iptables -L 하게되면 모든 chain의 rule을 나열합
니다
5. 체인으로부터 규칙들을 지우기 (-F) 예 : iptables -F INPUT   INPUT의
rule들이 지워지저 만약 iptables -F 하시게 되면 모든 chain의 rule들이 지워
집니다

chain 내부의 규칙을 조작하는 몇가지 방법이 있다.

1. 체인에 새로운 규칙을 추가하기 (-A) 아시저 이건 ^^
2. 체인의 어떤 지점에 규칙을 삽입하기 (-I) ---
3. 체인의 어떤 지점의 규칙을 교환하기 (-R) -- └-- I 옵션과 R 옵션의 틀린
점은 I 옵션은 그 위치에 있던 rule이 한 칸 내려 가지만
   R 옵션은 그 위치에 있
던 rule이 삭제되어 버립니다
   예 : iptables -A
INPUT -s 61.86.24.5 -j DROP -I 2 이런식으로 ^^
4. 체인의 어떤 지점의 규칙을 제거하기 (-D)    예 : iptables -D
INPUT 3
5. 체인에서 일치하는 첫번째 규칙을 제거하기 (-D)   만약 iptables -D
INPUT 이렇게 해주면 첫번째 rule이 지워지는거저

아차 아차 중요한거 한가지
chain 에서의 rule들은 위에쪽 rule이 먼저 적용된다는거저 즉 다시 말하면
허용하는 chain이 윗쪽으로 가야 된다는겁니다
그래야 적용이 되거든여^^

후압.... 여기까지

빈둥 빈둥 집에서 딩구는 天이가 계시판 열린 기념으로 써봐써여 ^0^

문제점 발견시 snhs1214 at hotmail.com 으로 지적해주시면
감사하겠습니다 ^^

모두 모두 즐삽 이여 !!~~

참고 and 좋은문서

http://kldp.org/Translations/html/Packet_Filtering-KLDP/Packet_Filtering-
KLDP.html#toc8

http://www.linux.co.kr/theme/index1.html?ca=200108