브리지 방화벽 구성 방법에 대해

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.
문의하신 책의 내용에 대해 답변드리도록 하겠습니다.

>>$IPTABLES -A FORWARD -s 211.47.64.40 -m state --state NEW -j ACCEPT 
>> <-- 이부분이 잘 이해가 안갑니다. 물론 설정할때 제 방화벽 밑에 있는 >> 아이피를 넣어주었구요..여기만 어떻게 해주면 될 것으로 보이는데..-_-;

일단, 방화벽에서 모든 설정을 허용(ACCEPT)으로 설정해 두고 네트워크가 잘 되는지 확인해 보십시오.
즉, 브리지 방화벽에서  $IPTABLES -P FORWARD ACCEPT 로 설정해 보신후 테스트해 보십시오.

잘 안된다면 브리지 설정 자체에 문제가 있는 것입니다. 만약, 잘 된다면 브리지 자체는 잘 되는 것이고 방화벽에서의 설정 문제 때문이겠지요...

지적하신대로 말씀하신 부분이 많이 헛갈릴 수 있는데, 브리지 방화벽이나 NAT 방화벽에서 방화벽을 통과하여 방화벽 내부의 서버를 향하는 패킷 또는 내부의 서버가 방화벽을 통해 외부로 나가는 패킷은 INPUT, OUTPUT처럼 별도로 있지 않고 오직 FORWARD에서만 처리 됩니다. 따라서 아래 룰에서 xxx.xxx.xxx.xxx 부분에 방화벽 내부의 서버IP를 적어주어야 내부에서 외부로 네트워크가 가능하게 됩니다.

 $IPTABLES -A FORWARD -s xxx.xxx.xxx.xxx  -m state --state NEW -j ACCEPT 

물론 서버가 2대라면 각각 써 주어야하겠지요....

위 룰의 의미는 내부에서 외부로 나가는 모든 트래픽을 허용하겠다는 의미입니다. 즉,  standalone 방화벽으로 따지면 기본적으로 OUTPUT을 허용(ACCEPT)하는 것과 같은 의미라고 생각하시면 됩니다.

원하시는 답변이 되셨는지요?
책 보시면서 잘 안되시는 부분이 있으시면 다시 글을 올려주세요...

감사합니다.