iptables 설정

http://jikime.tistory.com/338

리눅스 iptables는 위에서 순차적으로 적용

위에서 22번 포트를 허용하고 밑에 모든 포트 드랍을 하면

22번 포트는 오픈 상태

iptables 위치 

/etc/sysconfig/iptables

기본 명령어

iptables -[ADC] chain rule-specification [option]

iptables -[RI] chain rulenum rule-specification [option]

iptables -D chain rulenum [option]

iptables -[LFZ] [chain] [option]

iptables -[NX] chain

iptables -P chain target [option]

iptables -h (도움말)

command

-A : 새로운 규칙 추가

-D : 규칙을 삭제

-C : 패킷 테스트

-R : 새로운 규칙으로 교체

-I  : 새로운 규칙을 삽입

-L : chain에 설정된 규칙을 출력

-F : chain으로부터 규칙을 모두 삭제

-Z : 모든 chain의 패킷과 바이트 카운터 값을 0으로 만든다

-N : 새로운 chain을 만든다

-X : chain을 삭제

-P : 기본정책을 변경

chain

INPUT      : 입력에 대한 사용

OUTPUT   : 출력에 대한 사용

FORWARD : 전달에 대한 사용

option

-s : 패킷의 발신지 명시

-p  : 패킷의 프로토콜 명시(TCP, UDP, ICMP 등등)

-d  : 패킷의 도착지 명시

-i   : 규칙을 적용할 인터페이스 이름 명시

-j   : 규칙에 맞는 패킷을 어떻게 처리할 것인가 명시

-y  : 접속 요청 패킷인 SYN패킷을 허용하지 않음

-f   : 두번째 이후의 조각에 대해서 규칙을 명시

-m : ......? 일단 모듈을 선언

--sport : 출발지 포트 번호 제어

--dport : 목적지 포트 번호 제어

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j DROP  (icmp드랍 = 핑ㄴㄴ)

-A INPUT -i lo -j ACCEPT   (loop백 허용)

-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp --dport 1:65535 -j ACCEPT (특정 아이피 외에 모든 포트 드랍)

-A INPUT -s xxx.xxx.xxx.xxx -p tcp -m tcp --dport 1:65535 -j ACCEPT  (특정 아이피 외에 모든 포트 드랍)

-A INPUT -p tcp -m tcp --dport 80:80 -j ACCEPT (80번 포트 허용)

-A INPUT -p tcp -m tcp --dport 1:65535 -j DROP (모든 포트 드랍)

COMMIT

모든 설정을 마치고 반드시 

service iptables restart를 입력 해 줘야 설정이 적용됨