리눅스 분류
iptables 에서 output 에 대해서..
작성자 정보
- 리눅스왕초보 작성
- 작성일
컨텐츠 정보
- 1,858 조회
- 1 댓글
- 0 추천
- 목록
본문
제가 짧은 네트워크지식을 가지고 있어서요.
방화벽이라는건 들어오는것만 막으면 되지 왜 나가는것까지 막을까요?
쉽게 풀이해주실분 계세요?
관련자료
-
이전
-
다음
댓글 1
dslee님의 댓글
- dslee
- 작성일
때로는 하나의 패킷이 한번에 하나의 회선을 타고 통과할때 무리가 생길수 있습니다.
이 때는 패킷이 조각 으로 나뉘어 여러 개의 패킷으로 전송되는데요,
받는 쪽에서는 이 조각을 모아 하나의 패킷으로 재구성합니다.
패킷 필터링 howto 에서는 nat이나 접속추적을 할때에는 분절패킷이 하나의 패킷으로
재구성되어 필터링되기때문에 해당되지 않는다고 명시되어 있습니다.
하지만 위와 같은 상황이 아니라면 조각을 처리해야하나 안전성을 이유로 처리하지
않는 것을 권장하고 있기 때문입니다.
일반적으로 패킷이 분절(토막)될때 필터링을 할 정보인 특히 발신지 포트,
목적지 포트, ICMP 유형, ICMP 코드 또는 TCP SYN 플래그등은 첫번쩨 패킷의
헤더에 밖에 포함되지 않습니다. 즉 두번째 분절패킷부터는 그 정보가 없다는 말이거든요.
이를 위해서 분절된 패킷을 처리하기 위해 -f 옵션을 사용합니다.
하지만 -f옵션을 권장하지 않습니다. 왜냐하면 첫번째 필터링정보가 담긴 헤더를 보고
필터링을 할때 그 패킷이 거부하는 룰에 적용되어 거부되면 분절된 패킷이 거부되지
않고 오더라도 그것은 하나의 패킷으로 재구성 되지 않고 버려지기 때문입니다.
사용법은
# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
처럼 사용하는데요,
위의 뜻은 192.168.1.1을 항해 나가는 분절된 패킷은 모두 버린다 는 의미입니다.
하지만 꼭 필요한경우를 제외하고 이 옵션은 권장하지 않고, 실무에서도 잘 사용하지 않는 옵션입니다.
일반적인 상황에서 외부로 엄청난양의 패킷이 나갈이유는 해킹등의 경우를 당하지 않는 이상
일어날수 있는 상황이 아니거든요. 때문에 output 옵션은 잘 사용 안합니다.
이 때는 패킷이 조각 으로 나뉘어 여러 개의 패킷으로 전송되는데요,
받는 쪽에서는 이 조각을 모아 하나의 패킷으로 재구성합니다.
패킷 필터링 howto 에서는 nat이나 접속추적을 할때에는 분절패킷이 하나의 패킷으로
재구성되어 필터링되기때문에 해당되지 않는다고 명시되어 있습니다.
하지만 위와 같은 상황이 아니라면 조각을 처리해야하나 안전성을 이유로 처리하지
않는 것을 권장하고 있기 때문입니다.
일반적으로 패킷이 분절(토막)될때 필터링을 할 정보인 특히 발신지 포트,
목적지 포트, ICMP 유형, ICMP 코드 또는 TCP SYN 플래그등은 첫번쩨 패킷의
헤더에 밖에 포함되지 않습니다. 즉 두번째 분절패킷부터는 그 정보가 없다는 말이거든요.
이를 위해서 분절된 패킷을 처리하기 위해 -f 옵션을 사용합니다.
하지만 -f옵션을 권장하지 않습니다. 왜냐하면 첫번째 필터링정보가 담긴 헤더를 보고
필터링을 할때 그 패킷이 거부하는 룰에 적용되어 거부되면 분절된 패킷이 거부되지
않고 오더라도 그것은 하나의 패킷으로 재구성 되지 않고 버려지기 때문입니다.
사용법은
# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
처럼 사용하는데요,
위의 뜻은 192.168.1.1을 항해 나가는 분절된 패킷은 모두 버린다 는 의미입니다.
하지만 꼭 필요한경우를 제외하고 이 옵션은 권장하지 않고, 실무에서도 잘 사용하지 않는 옵션입니다.
일반적인 상황에서 외부로 엄청난양의 패킷이 나갈이유는 해킹등의 경우를 당하지 않는 이상
일어날수 있는 상황이 아니거든요. 때문에 output 옵션은 잘 사용 안합니다.
