[리눅스 명령어]CentOS : man iptables
1. 용도 및 목적
IPv4 패킷 필터링 및 NAT를위한 관리 도구(service 가 살아있을때 iptables 적용하면 바로 적용된다. 적용이 완료 되면 필히 service iptables save 진행 할 것)
2. 자주 쓰는 옵션
-참고
적용 시 에러가 없었는데 안되는 거 같다면 우선 순위 부터 확인
-iptables 확인(우선순위는 위에서부터)
#iptables -nL
-대역 드롭(s sport 출발지IP, d - dport 목적지IP)
#iptables -A INPUT -p tcp -s 192.168.35.0/24 -d 192.168.35.11 --dport 8443 -j DROP
-대역 드롭 삭제
#iptables -D INPUT -p tcp -s 192.168.35.0/24 -d 192.168.35.11 --dport 8443 -j DROP
-접근 드롭
#iptables -A INPUT -p tcp -s 192.168.35.11 --dport 22 -j DROP
-접근 드롭 삭제
#iptables -D INPUT -p tcp -s 192.168.35.11 --dport 22 -j DROP
-접근 허용
#iptables -A INPUT -p tcp -s 192.168.35.11 --dport 22 -j ACCEPT
-접근 허용 삭제
#iptables -D INPUT -p tcp -s 192.168.35.11 --dport 22 -j ACCEPT
-특정 대역 포트 범위 허용
#iptables -A INPUT -s 192.168.35.0/24 -p tcp --dport 10000:65535 -j ACCEPT
-특정 대역 포트 범위 삭제
#iptables -D INPUT -s 192.168.35.0/24 -p tcp --dport 10000:65535 -j ACCEPT
-udp 접근 드롭
#iptables -A INPUT -p udp -s 192.168.35.11 --dport 5060 -j DROP
-udp 접근 드롭 삭제
#iptables -D INPUT -p udp -s 192.168.35.11 --dport 5060 -j DROP
-ICMP 차단
#iptables -A INPUT -p icmp -s 192.168.35.11 -j DROP
-라인 별 조회
#iptables -L --line-numbers
-특정 라인 추가(iptables -nL 로 확인 후 위부터 1)
#iptables -I INPUT 1 -p udp -s 192.168.35.11 --dport 5060 -j DROP
-특정 라인 삭제(iptables -nL 로 확인 후 위부터 1)
#iptables -D INPUT 1
-저장 안하고 service iptables restart 또는 서버 재기동하면 초기화 됨
#service iptables save
3. 활용 방법
-제어 옵션
차단 : DROP(버림), REJECT(거절)
허용 : ACCEPT(허용)
-p 프로토콜 옵션
all, tcp, udp, icmp ~
-iptables 데몬 제어
#service iptables start
#service iptables status
#service iptables stop
-iptables 자동 실행(runlevel 3,4,5 에서 on)
#chkconfig --level 345 iptables on
chkconfig iptables --list
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
-기본 설정
vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
'OS (RHEL,CentOS) > Linux Command' 카테고리의 다른 글
[리눅스 명령어]CentOS : man sar (0) | 2022.09.08 |
---|---|
[리눅스 명령어]CentOS : man nmcli (0) | 2022.09.08 |
[리눅스 명령어]CentOS : man chronyd (0) | 2022.09.08 |
[리눅스 명령어]CentOS : man find (0) | 2022.09.08 |
[리눅스 명령어]CentOS : man tcpdump (0) | 2022.09.08 |