Linux 방화벽-iptables 자세한 설명

프로젝트 소개

iptables는 Linux 시스템에서 패킷 필터링, 패킷 리디렉션, 네트워크 주소 변환 및 기타 기능을 실현할 수 있는 무료 패킷 필터링 방화벽 소프트웨어입니다. 고가의 상업용 방화벽을 대체하는 효율적이고 유연한 솔루션입니다. iptables에는 강력한 구성 옵션과 규칙 설정이 있어 사용자는 자신의 필요에 따라 네트워크 트래픽을 세밀하게 제어하고 네트워크 보안과 성능을 향상시킬 수 있습니다.

iptables의 규칙은 실제로 네트워크 관리자가 미리 정의한 조건을 참조합니다. 규칙은 일반적으로 "데이터 패킷 헤더가 해당 조건을 충족하면 데이터 패킷을 이 방식으로 처리합니다."로 정의됩니다. 규칙은 커널 공간의 패킷 필터링 테이블에 저장됩니다. 이러한 규칙은 소스 주소, 대상 주소, 전송 프로토콜(예: TCP, UDP, ICMP) 및 서비스 유형(예: HTTP, FTP 및 SMTP)을 지정합니다. 데이터 패킷이 규칙과 일치하면 iptables는 수락, 거부, 삭제 등과 같이 규칙에 정의된 방법에 따라 이러한 데이터 패킷을 처리합니다. 방화벽 구성의 주요 작업은 이러한 규칙을 추가, 수정 및 삭제하는 것입니다.

iptables에는 필터 테이블, nat 테이블, mangle 테이블, raw 테이블이라는 4개의 내장 테이블이 있으며 각각 패킷 필터링, 네트워크 주소 변환, 패킷 재구성(수정) 및 데이터 추적 처리를 구현하는 데 사용됩니다. 각 체인은 실제로 여러 규칙 중 하나의 체크리스트일 뿐입니다. 각 체인에는 하나 또는 여러 개의 규칙이 있을 수 있습니다. 패킷이 체인에 도착하면 iptables는 체인의 첫 번째 규칙부터 시작하여 패킷이 규칙에 정의된 조건을 충족하는지 확인합니다. 만족하면 시스템은 규칙에 정의된 방법에 따라 패킷을 처리합니다. 그렇지 않으면 iptables는 다음 규칙을 계속 확인합니다. 패킷이 체인의 어떤 규칙도 준수하지 않는 경우, iptables는 미리 정의된 체인의 기본 정책에 따라 패킷을 처리합니다.

전반적으로 iptables는 Linux 시스템에서 방화벽 및 네트워크 주소 변환 기능을 구성하기 위한 강력한 도구입니다.

시스템 방화벽 교체: Centos7 시스템의 기본 방화벽 관리 도구는 iptables가 아닙니다. 사용해야 할 경우 직접 설치하고 교체해야 합니다.

으아악

전체 방화벽 규칙 쿼리: 방화벽 기본 구성 규칙을 보려면 -L -n –line-numbers 매개변수를 사용하세요.

으아악

기본적으로 거부하도록 방화벽 설정: 기본 거부 규칙을 설정하고 INPUT 체인을 기본적으로 거부하도록 설정합니다. 이는 모든 연결 요청을 거부하는 것을 의미합니다.

으아악

방화벽 ICMP 에코 활성화: 기본 규칙이 이를 거부하는 경우 ICMP 테스트를 활성화하고 호스트가 핑을 허용하도록 설정하세요.

으아악

고객 SSH 원격 연결 허용: 기본적으로 거부되는 경우 포트 22가 열리도록 설정하여 기기에 대한 원격 SSH 연결을 허용합니다.

으아악

지정된 규칙 삭제: 기본적으로 거부되는 경우 두 번째 데이터인 INPUT 체인을 삭제하고 ICMP 규칙을 삭제합니다.

으아악

허용된 네트워크 세그먼트 액세스 지정: 기본적으로 거부되는 경우 192.168.1.0/24 네트워크 세그먼트의 호스트만 머신의 포트 22에 액세스하도록 설정합니다.

으아악

지정된 포트에 대한 액세스 거부: INPUT 규칙 체인에서 모든 사람의 컴퓨터 액세스를 거부하는 포트 8888을 추가합니다.

으아악

지정된 호스트 네트워크 세그먼트의 포트에 대한 액세스 거부: INPUT 규칙 체인에서 192.168.1.20 호스트를 추가하여 로컬 포트 ​​80에 대한 액세스를 거부합니다.

으아악

지정된 포트 범위에 대한 액세스 거부: INPUT 규칙 체인에서 로컬 포트 ​​1000-2000에 대한 모든 호스트 액세스를 거부하려면 추가하세요. 으아악

SNAT - 소스 주소 변환 : 로컬 영역에서 전송된 데이터 패킷은 SNAT 이후 자동으로 공용 네트워크 IP로 위장되며, 공용 네트워크 IP는 지정된 서비스에 액세스하는 데 사용됩니다. 으아악

DNAT-대상 주소 변환 : 공용망에서 수신된 데이터 패킷은 DNAT 이후 지정된 인트라넷 호스트로 자동 전달됩니다. 으아악

물리적 요청 연결 수 제한: iptables는 connlimit 모듈을 사용하여 특정 포트에 대한 동일한 IP의 연결 수를 제한할 수 있습니다. 이를 통해 각 클라이언트 IP에 대한 동시 연결 수, 즉 동시 연결 수를 제한할 수 있습니다. 인트라넷 사용자의 네트워크 사용량을 제한할 수도 있고, 서버의 경우 각 IP에서 시작되는 연결 수를 제한할 수도 있습니다.

으아악

기본 방화벽 규칙 구성: 새로 설치된 시스템에서 다음 코드를 실행하여 기본 방화벽 규칙을 구성할 수 있습니다.

으아악

프로덕션에 일반적으로 사용되는 구성 규칙: 다음은 프로덕션 환경에서 일반적으로 사용되는 몇 가지 규칙의 구성입니다. 일반적인 상황에서는 이러한 규칙을 구성하는 것으로 충분합니다.

으아악

위 내용은 Linux 방화벽-iptables 자세한 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!