[리눅스 명령어]CentOS : man iptables

[리눅스 명령어]CentOS : man iptables

1. 용도 및 목적
IPv4 패킷 필터링 및 NAT를위한 관리 도구(service 가 살아있을때 iptables 적용하면 바로 적용된다. 적용이 완료 되면 필히 service iptables save 진행 할 것)

2. 자주 쓰는 옵션
-참고
적용 시 에러가 없었는데 안되는 거 같다면 우선 순위 부터 확인
-iptables 확인(우선순위는 위에서부터)
#iptables -nL

-대역 드롭(s sport 출발지IP, d - dport 목적지IP)
#iptables -A INPUT -p tcp -s 192.168.35.0/24 -d 192.168.35.11 --dport 8443 -j DROP

-대역 드롭 삭제
#iptables -D INPUT -p tcp -s 192.168.35.0/24 -d 192.168.35.11 --dport 8443 -j DROP

-접근 드롭
#iptables -A INPUT -p tcp -s 192.168.35.11 --dport 22 -j DROP

-접근 드롭 삭제
#iptables -D INPUT -p tcp -s 192.168.35.11 --dport 22 -j DROP

-접근 허용
#iptables -A INPUT -p tcp -s 192.168.35.11 --dport 22 -j ACCEPT

-접근 허용 삭제
#iptables -D INPUT -p tcp -s 192.168.35.11 --dport 22 -j ACCEPT

-특정 대역 포트 범위 허용
#iptables -A INPUT -s 192.168.35.0/24 -p tcp --dport 10000:65535 -j ACCEPT

-특정 대역 포트 범위 삭제
#iptables -D INPUT -s 192.168.35.0/24 -p tcp --dport 10000:65535 -j ACCEPT

-udp 접근 드롭
#iptables -A INPUT -p udp -s 192.168.35.11 --dport 5060 -j DROP

-udp 접근 드롭 삭제
#iptables -D INPUT -p udp -s 192.168.35.11 --dport 5060 -j DROP

-ICMP 차단
#iptables -A INPUT -p icmp -s 192.168.35.11 -j DROP

-라인 별 조회
#iptables -L --line-numbers

-특정 라인 추가(iptables -nL 로 확인 후 위부터 1)
#iptables -I INPUT 1 -p udp -s 192.168.35.11 --dport 5060 -j DROP

-특정 라인 삭제(iptables -nL 로 확인 후 위부터 1)
#iptables -D INPUT 1

-저장 안하고 service iptables restart 또는 서버 재기동하면 초기화 됨
#service iptables save

3. 활용 방법
-제어 옵션
차단 : DROP(버림), REJECT(거절)
허용 : ACCEPT(허용)
-p 프로토콜 옵션
 all, tcp, udp, icmp ~
-iptables 데몬 제어
#service iptables start
#service iptables status
#service iptables stop

-iptables 자동 실행(runlevel 3,4,5 에서 on)
#chkconfig --level 345 iptables on
chkconfig iptables --list
iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off

-기본 설정
vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT