리눅스마스터1급: iptables의 활용을 통한 방화벽 구축6편- 응답 패킷의 조정

리눅스마스터1급: iptables의 활용을 통한 방화벽 구축6편- 응답 패킷의 조정

우선 패킷들은 특정 프로토콜을 사용한다.

그리고 프로토콜이 TCP라면 역시 특정 포트를 사용한다.

그러므로 여러분 컴퓨터의 모든 포트를 막음으로써 보안을 할 수 있을 것이다.

하지만 여러분이 다른 컴퓨터에 패킷을 보내면 그 컴퓨터는 여러분에게 다시 응답을 해야 한다.

그러므로 만약 들어오는 모든 포트를 막아버린다면 응답하는 패킷도 결국 못 들어오므로 연결을 하는 의미가 없을 것이다.

하지만 다른 방법이 있다.

두 컴퓨터가 TCP 연결로 패킷을 주고받는다면 그 연결은 우선 초기화 되어야 한다.

이것은 바로 SYN 패킷이 담당한다.

SYN 패킷은 단순히 다른 컴퓨터에게 주고받을 준비가 되었다는 것만 알려주는 초기화 기능만을 한다.

이제 서비스를 요청하는 컴퓨터는 우선적으로 SYN 패킷을 보낸다는 것을 알게 되었다.

그러므로 들어오는 SYN 패킷을 막기만 하면 다른 컴퓨터가 여러분 컴퓨터의 서비스를 이용하지 못하게 할 수 있으면서 그들과 통신할 수 있는 것이다.

즉, 이와 같이 하면 여러분이 먼저 패킷을 보내서 요청이 들어오는 것이 아니면 모두 무시해 버리게 된다.

이 옵션을 사용하기 위해서는 선택한 프로토콜 뒤에 --syn 이라고 명령을 넣으면 된다.

이제 인터넷으로부터 오는 모든 연결을 막기 위해서는 다음과 같이 룰을 정하면 된다.

만약 iptables를 사용하는 내부망에서 서버를 운영하고자 한다면 80번 포트를 응답 패킷 제한에서 제외하기 위해 “!” 형태로 제외할 대상을 선택할 수 있다.