iptables의 기능

iptables의 기능

리눅스 커널에서 제공하는 방화벽인 netfilter와 이를 기반으로 하는 관리 프로그램인 iptables는 어떤 장점과 기능을 제공하는지 알아보자.

[그림] netfilter 홈페이지

① 상태추적(Stateful Inspection)기능

최근의 방화벽에서 제공하는 고급기능인 상태추적은 방화벽을 통과하는 모든 패킷에 대한 상태를 추적하여 메모리에 기억하고 있다가 기존의 연결을 가장하여 접근할 경우 메모리에 저장된 목록과 비교하여 적합하면 통과시키고 그렇지 않으면 거부하는 기능으로서 지능화된 공격시도를 차단할 수 있는 고급 기능중 하나이다.

ipchains와 같이 상태추적기능을 제공하지 않는 방화벽을 stateless라고 하며 이에 비해 iptables와 같이 상태추적기능을 제공하는 방화벽은 stateful이라고 한다.

이에 대한 설명은 뒤에서 자세히 하기로 한다.

② 향상된 매칭 기능

iptables는 방화벽에서 기본적으로 제공하는 매칭 정보인 패킷의 IP 주소와 포트 번호 뿐만 아니라 추가적으로 다양한 매칭 기능을 제공하는데, 현재의 연결 상태, 포트 목록, 하드웨어 MAC 주소, 패킷 발신자의 유저나 그룹 또는 프로세스, IP 헤더의 TOS 등 여러 가지 조건을 이용하여 세부적이고 복잡한 매칭 및 필터링이 가능하다.

③ 향상된 로깅 기능

룰에 매칭 하는 패킷에 대해 원하는 대로, 원하는 형식으로 쉽게 로그에 남길 수 있다.

④ 포트포워딩(port forwarding) 기능 내장

ipchains를 사용할 때는 NAT를 이용하기 위해서 별도로 분리되어 있던 ipmasqadm을 사용하여야 했으나 iptables에는 NAT 기능이 자체적으로 포함되어 있어 NAT를 위해 별도의 프로그램을 이용할 필요 없이 커널 메뉴에서 선택만 해 주면 iptables만으로도 사용할 수 있다.

또한 NAT등 포트 포워딩뿐만 아니라 리눅스 서버 자체에 설치할 수도 있고 브리지 등 다양한 네트워크 구조를 지원하여 원하는 방식대로 네트워크를 구성할 수 있어 방화벽에 네트워크 구조를 맞추는 것이 아니라 네트워크 구조에 방화벽을 맞출 수 있다.