커널 포워딩 , IPTABLES , FOWARD

커널포워딩

커널 포워딩은 램 라우팅과 같다 

 

 

[ 실습 환경 설정]
DB(록키)
ens33 : 20.20.20.20 / VM 2 / DB

WEB(미니)
ens32 : 20.20.20.254   / NAT  / DB용 게웨
ens33 : 192.168.10.10 / VM 2  / WEB
ens34 : 10.10.10.254   / VM 1  /  OTP용 게웨

OTP (미니)
ens33 : 10.10.10.10     / VM 1  / OTP

 

[ 커널 포워딩 영구 설정 ]

192.168.10.10 ) 

vi /etc/sysctl.conf  
net.ipv4.ip_forward = 1
수정 후
 sysctl -p    (적용)

결과 : 192.168.10.10 에서 firewall을 stop해도 10.10.10.10  -> 20.20.20.20 된다 

이유: 

 

[ 기본 iptables의 요소 ]

#iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
#iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
알지못하는 네트워크에서의 연결 리젝트

 

*ACCEPT :  허가 
*REJECT  : 반송
*DROP   :  폐기 
LOG      :  로그기록
RETURN :  룰 연계

 

[ iptables 룰 ]
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
내부로 접근하는  tcp 중 (- A INPUT -p tcp ) 
새로운 연결을 요청하는 (-m state --state NEW ) : 기존값에 영향 안주고 새로운값만 영향을 준다 =>보안 
도착포트 22/tcp 를  허가한다. (-m tcp --dport22 -j ACCEPT )

 

[ 룰 정책 ] 
-A (--append) : 규칙 추가 ****
-P (--policy) : 기본정책을 변경한다.*****
-F (--flush) : chain으로부터 규칙을 모두 삭제한다. ******
-D (--delete) : 규칙을 삭제한다.
-C (--check) : 패킷을 테스트한다.
-R (--replace) : 새로운 규칙으로 교체한다.
-I (--insert) : 새로운 규칙을 삽입한다.
-L (--list) :  규칙을 출력한다.
-Z (--zero) : 모든 chain의 패킷과 바이트 카운터 값을 0으로 만든다.
-N (--new) : 새로운 chain을 만든다.
-X (--delete-chain) : chain을 삭제한다.

 

[ 장치및 상태옵션 ]
-s (--source )  : 출발지  IP주소/네트워크***
-d (--destination)  : 목적지  IP주소/네트워크***
-p (--protocol) :  프로토콜 ***
-i  (--in-interface) :  입력장치 (내부장치) ----------------------  i 와 o 는 방화벽 기준으로 in / out이다. 
-o (--out-interface)  :   출력장치 (외부장치)
-m (--match) 모듈 지정 ****
              --state : 연결상태
               ESTABLISHED :  연결이 되어있는 패킷 ****
               NEW      :  새로운 연결을 요청하는 패킷
               RELATED      :   기존연결이외 다른 새로운 연결요청
               (ex:  FTP데이타 전송포트(20/tcp)를 다른 포트로 사용하고자할때 )
               INVALID      :    어디에도 속하지 않은 패킷
-m tcp     --dport
               --sport
-j  (--jump) 규칙 적용 ****

 

iptables -F                    [ 초기화 ]

iptables-save             [ 일시 저장 ]

service iptable save      [ 저장 ] 
service iptables restart  [적용]

 

[ 백업 ]

mkdir /backup
iptables-save > /backup/ip.bak

 

[복구]
iptables-restore  /backup/ip.bak

 

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT        [연결유지]

 

[ ssh 접속 설정 ]
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
service iptables save
service iptables restart

 

[127.0.0.1 ping 설정 ]

iptables -A INPUT -i lo -j ACCEPT

service iptables save
service iptables restart