- 커널 포워딩 , IPTABLES , FOWARD2024년 06월 14일 01시 00분 02초에 업로드 된 글입니다.작성자: 202401to07
커널포워딩
커널 포워딩은 램 라우팅과 같다
[ 실습 환경 설정]
DB(록키)
ens33 : 20.20.20.20 / VM 2 / DB
WEB(미니)
ens32 : 20.20.20.254 / NAT / DB용 게웨
ens33 : 192.168.10.10 / VM 2 / WEB
ens34 : 10.10.10.254 / VM 1 / OTP용 게웨
OTP (미니)
ens33 : 10.10.10.10 / VM 1 / OTP[ 커널 포워딩 영구 설정 ]
192.168.10.10 )
vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
수정 후
sysctl -p (적용)결과 : 192.168.10.10 에서 firewall을 stop해도 10.10.10.10 -> 20.20.20.20 된다
이유:
[ 기본 iptables의 요소 ]
#iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
#iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
알지못하는 네트워크에서의 연결 리젝트*ACCEPT : 허가
*REJECT : 반송
*DROP : 폐기
LOG : 로그기록
RETURN : 룰 연계[ iptables 룰 ]
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
내부로 접근하는 tcp 중 (- A INPUT -p tcp )
새로운 연결을 요청하는 (-m state --state NEW ) : 기존값에 영향 안주고 새로운값만 영향을 준다 =>보안
도착포트 22/tcp 를 허가한다. (-m tcp --dport22 -j ACCEPT )[ 룰 정책 ]
-A (--append) : 규칙 추가 ****
-P (--policy) : 기본정책을 변경한다.*****
-F (--flush) : chain으로부터 규칙을 모두 삭제한다. ******
-D (--delete) : 규칙을 삭제한다.
-C (--check) : 패킷을 테스트한다.
-R (--replace) : 새로운 규칙으로 교체한다.
-I (--insert) : 새로운 규칙을 삽입한다.
-L (--list) : 규칙을 출력한다.
-Z (--zero) : 모든 chain의 패킷과 바이트 카운터 값을 0으로 만든다.
-N (--new) : 새로운 chain을 만든다.
-X (--delete-chain) : chain을 삭제한다.[ 장치및 상태옵션 ]
-s (--source ) : 출발지 IP주소/네트워크***
-d (--destination) : 목적지 IP주소/네트워크***
-p (--protocol) : 프로토콜 ***
-i (--in-interface) : 입력장치 (내부장치) ---------------------- i 와 o 는 방화벽 기준으로 in / out이다.
-o (--out-interface) : 출력장치 (외부장치)
-m (--match) 모듈 지정 ****
--state : 연결상태
ESTABLISHED : 연결이 되어있는 패킷 ****
NEW : 새로운 연결을 요청하는 패킷
RELATED : 기존연결이외 다른 새로운 연결요청
(ex: FTP데이타 전송포트(20/tcp)를 다른 포트로 사용하고자할때 )
INVALID : 어디에도 속하지 않은 패킷
-m tcp --dport
--sport
-j (--jump) 규칙 적용 ****iptables -F [ 초기화 ]
iptables-save [ 일시 저장 ]
service iptable save [ 저장 ]
service iptables restart [적용][ 백업 ]
mkdir /backup
iptables-save > /backup/ip.bak[복구]
iptables-restore /backup/ip.bakiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [연결유지]
[ ssh 접속 설정 ]
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
service iptables save
service iptables restart[127.0.0.1 ping 설정 ]
iptables -A INPUT -i lo -j ACCEPT
service iptables save
service iptables restart'보안' 카테고리의 다른 글
6/17 시험준비 (0) 2024.06.14 2024.06.14.보안 day49 (0) 2024.06.14 2024.06.13.보안 day48 (0) 2024.06.13 2024.06.12.보안 day47 (0) 2024.06.12 2024.06.11.보안 day46 (0) 2024.06.11 다음글이 없습니다.이전글이 없습니다.댓글