상태추적 설정

상태추적 설정

이전의 ipchains와 같이 상태추적이 제공되지 않는 stateless 방화벽의 경우 매번 들어오고 나가는 패킷마다 허용할 것인지 차단할 것인지 여부를 체크하여야 했지만 상태 추적을 이용하면 이미 설정된 필터링 룰에 따라 허용이 된 트래픽의 경우 뒤이어 전송되는 모든 패킷을 다시 첫 번째 룰부터 검사할 필요 없이 바로 허용할 수 있다.

이것이 바로 상태 추적의 가장 큰 장점 중 하나이다.

따라서 아래 두 줄을 룰 설정의 앞 쪽에 선언함으로써 룰이 간단해지고 일정 정도의 성능 향상을 기대할 수 있을 것이다.

다시 한 번 강조하지만 iptables에서는 먼저 매칭 되는 룰이 적용되는 것이며 DROP이나 REJECT, ACCEPT등으로 매칭이 되면 더 이상 아래의 룰에 대해 체크하지 않고 바로 끝나게 된다.

OUTPUT의 기본정책이 DROP일 경우에는 아래와 같이 INPUT, OUTPUT 모두 허용하여야 하지만, 

OUTPUT의 기본 정책이 ACCEPT일 경우에는 INPUT만 추가 허용해도 된다.

하지만 Performance를 위해 OUTPUT과 함께 이 룰을 가능한 앞에 두는 것이 좋다.

아래에서 ESTABLISHED와 RELATED 사이에 있는 , 은 또는(or)의 의미가 된다.