브리지 방화벽 구성 방법에 대해

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

문의하신 내용을 제대로 이해했는지 모르겠지만, 룰 적용시 아래와 같이 FORWARD를 써  주어야 하며 INPUT을 적용하시면 안됩니다. INPUT은 방화벽 자체로 향하는 트래픽을 의미합니다.

$IPTABLES -A FORWARD -s xxx.xxx.xxx.xxx  -m state --state NEW -j ACCEPT 

xxx.xxx.xxx.xxx 부분에 방화벽 내부에 있는 서버의 IP를 써 주시면 됩니다.

물론 이후에 아래와 같이 이미 세션이 성립된 패킷은 허용하도록 설정하여야 합니다.

$TTFW -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
$TTFW -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
$TTFW -A FORWARD  -m state --state ESTABLISHED,RELATED -j ACCEPT

이외에는 별도의 룰이 필요없습니다. 위와 같이만 설정하면 방화벽 내부의 서버는 어드로든 외부로 접속이 가능하게 됩니다... 만약 내부에서 1.2.3.4를 사용하신다면

$IPTABLES -A FORWARD -p TCP -s 1.2.3.4  --dport 22 -j ACCEPT

위와 같이 적용시 내부의 1.2.3.4에서는 모든 외부의 SSH 접속이 가능하게 됩니다.

좀 더 구체적인 상황을 다시 알려주시면 감사하겠습니다.

감사합니다.