¢Æ DolyÀÇ CentOS7 °ÁÂ31 12. ³×Æ®¿öÅ© º¸¾È¼³Á¤ 12.2 iptables ¼ºñ½º (2/3)
12.2. iptables ¼ºñ½º
12.2.3. ¹æÈº® TUI(system-config-firewall-tui) ¼³Á¤
¾Õ¿¡¼ system-config-firewall ÆÐŰÁö¸¦ ¼³Ä¡ÇÏ¿´´Ù¸é, TUI ÀÎÅÍÆäÀ̽ºÀÎ system-config-firewall-tui ÆÐŰÁö±îÁö ÀÇÁ¸¼º¿¡ ÀÇÇØ ¼³Ä¡µÇ¾úÀ» °ÍÀÌ´Ù. CentOS6±îÁö »ç¿ëÇÏ´ø ¹æÈº® TUI ÇÁ·Î±×·¥(system-config-firewall-tui)À» »ç¿ëÇÏ¿© ¹æÈº® ¼³Á¤À» ÇØº¸ÀÚ.
~]# system-config-firewall-tui
system-config-firewall-tui¸¦ ½ÇÇàÇϸé À§¿Í °°Àº ȸéÀ» º¼ ¼ö ÀÖ´Ù. ¸í·É¾î ±â¹Ýº¸´Ù´Â ½±°Ô »ç¿ëÇÒ ¼ö ÀÖ´Â TUI ÀÎÅÍÆäÀ̽ºÀÌ´Ù. Ä¿¼³ª, <TAB>۸¦ »ç¿ëÇÏ¿© ¿òÁ÷À̰í <SPACE>Ű·Î üũÇϰí, <ENTER>۸¦ »ç¿ë ¼±ÅÃÇÑ´Ù. <F12>۸¦ »ç¿ëÇÏ¿© ´ÙÀ½ ½ºÅ©¸°À¸·Î ³Ñ¾î°¥ ¼ö ÀÖ´Ù.
À¥¼¹ö¸¦ ¿î¿µÇϱâ À§ÇØ HTTP, HTTPS Æ÷Æ®¸¦ Çã¿ëÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¾Ë¾Æº¸ÀÚ. ¹æÈº® Ȱ¼ºÈ¿¡ üũÇÏ°í »ç¿ëÀÚ ¼³Á¤À» ¼±ÅÃÇÑ´Ù.
À§ ±×¸²°ú °°ÀÌ SSH, WWW(HTTP), º¸¾È WWW(HTTPS)¸¦ ¼±ÅÃÇÑ´Ù. ÇÏ´Ü¿¡ Á¾·á¸¦ ¼±ÅÃÇÑ´Ù. ´ÙÀ½°ú °°ÀÌ Ã¹ ȸéÀ» ¸¸³ª°Ô µÉ °ÍÀÌ´Ù.
À§ ±×¸²¿¡¼ OK¸¦ ¼±ÅÃÇÑ´Ù. ´ÙÀ½°ú °°Àº °æ°í âÀ» ¸¸³ª°Ô µÈ´Ù.
¿©±â¼ ¿¹¸¦ ¼±ÅÃÇÏ¸é ¼³Á¤³»¿ªÀÌ /etc/sysconfig/iptables¿¡ ÀúÀåµÇ°í, iptables ¼ºñ½º°¡ Àç ½ÃÀÛµÇ¾î ¹æÈº® ·êÀÌ Àû¿ëµÈ´Ù.
¹æÈº® ¿ÀÇ ¿©ºÎ È®ÀÎÀ» À§ÇØ ´Ù¸¥ ¸®´ª½º ÄÄÇ»ÅÍ¿¡¼ ´ÙÀ½°ú °°ÀÌ È®ÀÎÇØ º¸ÀÚ.
~]# nmap 192.168.0.201 -p 443,80,22,25
Starting Nmap 5.21 ( http://nmap.org ) at 2015-03-30 20:40 KST
Nmap scan report for 192.168.0.201
Host is up (0.00041s latency).
PORT STATE SERVICE
22/tcp open ssh
25/tcp filtered smtp
80/tcp closed http
443/tcp closed https
Nmap done: 1 IP address (1 host up) scanned in 0.03 seconds
nmap¸í·É¾î¸¦ ¹æÈº® ¼³Á¤ ³»¿ªÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. 22/tcp(SSH)´Â ¿ÀÇÂµÈ °ÍÀÌ È®Àεǰí, 25/tcp(SMTP)´Â filteredµÇ¾ú´Ù. À¥¼ºñ½º Æ÷Æ® 80/tcp(HTTP), 443/tcp(HTTPS)´Â ¹æÈº®¿¡¼ Â÷´ÜµÈ °ÍÀº ¾Æ´ÏÁö¸¸ ´ÝÇô ÀÖ´Ù°í ³ªÅ¸³´Ù. »óÅ¿¡ ´ëÇØ ¼³¸íÇÏ¸é ´ÙÀ½°ú °°´Ù.
12.2.3.1. Æ÷Æ® ¹× ÇÁ·ÎÅäÄÝ Á÷Á¢ Ãß°¡
¾Õ¿¡¼ ´Ù·ð´ø ¼ºñ½º¸¦ ÀÌ¿ëÇÏ¿© ¹æÈº®À» °ü¸®Çϱ⵵ ÇÏÁö¸¸, ¹Ì¸® Á¤ÀÇµÈ ¼ºñ½ºÀÇ Æ÷Æ®¸¦ º¯°æÇÏ´Â °æ¿ì ¶Ç´Â Á¤ÀǵÇÁö ¾ÊÀº ¼ºñ½ºÀÇ Æ÷Æ®¸¦ ¿ÀÇÂÇϱâ À§Çؼ´Â Á÷Á¢ Æ÷Æ® ¹× ÇÁ·ÎÅäÄÝÀ» Á¤ÀÇÇÏ¿© ¿ÀÇÂÇØ¾ß ÇÑ´Ù.
VNCÁ¢¼ÓÀ» À§ÇØ Æ÷Æ® ¹× ÇÁ·ÎÅäÄÝÀ» Á÷Á¢ Ãß°¡ÇØ º¸µµ·Ï ÇÏÀÚ. ÄÜ¼Ö Ã¢¿¡¼ ´ÙÀ½ ¸í·É¾î¸¦ ÀÔ·ÂÇÑ´Ù.
~]# system-config-firewall-tui
Æ÷Æ®¸¦ Á÷Á¢ Ãß°¡Çϱâ À§Çؼ´Â ´ÙÀ½ ¸Þ´º¸¦ ¼±ÅÃÇÏ¿© ³Ñ¾î°£´Ù.
- ¹æÈº® ¼³Á¤ : »ç¿ëÀÚ ¼³Á¤
- ½Å·ÚÇÏ´Â ¼ºñ½º : ´ÙÀ½
À§ ±×¸²Ã³·³ ±× ¿ÜÀÇ Æ÷Æ® ȸéÀÌ ³ªÅ¸³ª¸é, Ãß°¡¸¦ ¼±ÅÃÇÏ¸é ¾Æ·¡ ±×¸²°ú °°ÀÌ Ãß°¡ Æ÷Æ® ¹× ÇÁ·ÎÅäÄÝÀ» ÀÔ·ÂÇÒ ¼ö ÀÖ´Ù.
´ÙÀ½°ú °°ÀÌ ÀÔ·ÂÇÏÀÚ.
¡°Æ÷Æ®/Æ÷Æ® ¹üÀ§:¡± 5900-5910
¡°ÇÁ·ÎÅäÄÝ:¡± tcp
ÀÌ´Â TCP 5900~5910Æ÷Æ®·Î ¼¹ö¿¡ µé¾î¿À´Â ÆÐŶÀ» Çã¿ëÇÑ´Ù´Â °ÍÀÌ´Ù. ¼³Á¤ ¿Ï·á ÈÄ Á¾·á¸¦ ¼±ÅÃÇϰí ù ȸéÀÌ ³ªÅ¸³ª°í OK¸¦ ¼±ÅÃÇÏ°í °æ°í â¿¡¼ ¿¹¸¦ ¼±ÅÃÇÏ¸é ¼³Á¤³»¿ªÀÌ /etc/sysconfig/iptables¿¡ ÀúÀåµÇ°í, iptables ¼ºñ½º°¡ Àç ½ÃÀÛµÇ¾î ¹æÈº® ·êÀÌ Àû¿ëµÈ´Ù.
12.2.3.2. ¸¶½ºÄ¿·¹À̵ù(Masquerading)
¸®´ª½º ½Ã½ºÅÛÀ» ÀÎÅÍ³Ý °øÀ¯ ¸ñÀûÀÇ ¶ó¿ìÅÍ ±â´ÉÀ» »ç¿ëÇϱâ À§ÇØ ¸¶½ºÄ¿·¹À̵ù ±â´ÉÀ» Ȱ¼ºÈ ½ÃŲ´Ù.
¸¶½ºÄ¿·¹À̵ùÀ» »ç¿ëÇϱâ À§ÇØ °øÀθÁ, »ç¼³¸Á ³×Æ®¿öÅ© ±¸¼ºÀ» ¹Ì¸® ÇØ µÎ¾î¾ß ÇÑ´Ù.
~]# system-config-firewall-tui
¸¶½ºÄ¿·¹À̵ù ¼³Á¤À» À§Çؼ´Â ´ÙÀ½ ¸Þ´º¸¦ ¼±ÅÃÇÏ¿© ³Ñ¾î°£´Ù.
- ¹æÈº® ¼³Á¤ : »ç¿ëÀÚ ¼³Á¤
- ½Å·ÚÇÏ´Â ¼ºñ½º : ´ÙÀ½
- ½Å·ÚÇÏ´Â ÀÎÅÍÆäÀ̽º : ´ÙÀ½
À§ ±×¸²°ú °°ÀÌ ¸¶½ºÄ¿·¹À̵ù(Masquerading) ¼³Á¤ ȸéÀÌ ³ªÅ¸³ª¸é, ÀÎÅÍÆäÀ̽º¸¦ ¼±ÅÃÇϰí Á¾·á¸¦ ¼±ÅÃÇÑ´Ù. ù ȸéÀÌ ³ªÅ¸³ª°í OK¸¦ ¼±ÅÃÇÏ°í °æ°í â¿¡¼ ¿¹¸¦ ¼±ÅÃÇÏ¸é ¼³Á¤³»¿ªÀÌ /etc/sysconfig/iptables¿¡ ÀúÀåµÇ°í, iptables ¼ºñ½º°¡ Àç ½ÃÀÛµÇ¾î ¹æÈº® ·êÀÌ Àû¿ëµÈ´Ù.
1.1.1.3. Æ÷Æ® Æ÷¿öµù(port forwarding)
¾Õ¿¡¼ ¸¶½ºÄ¿·¹À̵ù ¼³Á¤À¸·Î ÀÎÅÍ³Ý °øÀ¯ ¶ó¿ìÅ͸¦ ¼³Á¤ÇÑ °æ¿ì ¿ÜºÎ¿¡¼ °øÀÎIP·Î Á¢¼ÓµÇ´Â ¿¬°á¿¡ ´ëÇØ¼ Æ÷Æ®¿¡ µû¶ó ³»ºÎ ¼¹ö·Î ¿¬°á½Ãų ¼ö ÀÖ´Â Æ÷Æ® Æ÷¿öµù ±â´ÉÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù.
¶Ç, ½Ã½ºÅÛÀ¸·Î µé¾î¿À´Â Æ÷Æ®¸¦ Æ÷¿öµùÇÏ¿© ·ÎÄÃÀÇ ´Ù¸¥ Æ÷Æ®·Î Æ÷¿öµùÇÒ ¼ö ÀÖ´Ù. ½Ã½ºÅÛÀÇ °¢ ¼ºñ½ºµéÀº º¸¾ÈÀ» À§ÇØ ÀÏ¹Ý »ç¿ëÀÚ ±ÇÇÑÀ¸·Î ¼ºñ½º¸¦ ½ÇÇàÇϱ⸦ ±ÇÀåÇÑ´Ù. ¿¹¸¦ µé¾î TomcatÀº JSP ÄÁÅ×À̳ÊÀÌ¸é¼ À¥¼¹ö ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. TomcatÀº ÀÏ¹Ý »ç¿ëÀÚ °èÁ¤À¸·Î ½ÇÇàÇÒ °ÍÀ» ±ÇÀåÇÑ´Ù. ÇÏÁö¸¸, HTTP±âº»Æ÷Æ® 80À» »ç¿ëÇÒ °æ¿ì root±ÇÇÑÀÌ ¾Æ´Ï¸é 80Æ÷Æ®¸¦ BindÇÒ ¼ö ¾ø´Ù. ÀÌ·¯ÇÑ °æ¿ì Æ÷Æ®Æ÷¿öµùÀ» »ç¿ëÇÏ¿© 80Æ÷Æ®·Î Á¢¼ÓµÇ´Â ÆÐŶÀ» ·ÎÄÃÀÇ 8080(TomcatÀÇ ±âº» HTTP Æ÷Æ®)Æ÷Æ®·Î Æ÷¿öµù½ÃÅ´À¸·Î root±ÇÇÑ ¾øÀÌ 80Æ÷Æ®¸¦ »ç¿ëÇÏ¿© À¥¼ºñ½º¸¦ ÇÒ ¼ö ÀÖ´Ù.
80Æ÷Æ®·Î Á¢¼ÓµÇ´Â ÆÐŶÀ» 8080Æ÷Æ®·Î Æ÷¿öµù ¼³Á¤ÇØ º¸ÀÚ.
~]# system-config-firewall-tui
Æ÷Æ® Æ÷¿öµù ¼³Á¤À» À§Çؼ´Â ´ÙÀ½ ¸Þ´º¸¦ ¼±ÅÃÇÏ¿© ³Ñ¾î°£´Ù.
- ¹æÈº® ¼³Á¤ : »ç¿ëÀÚ ¼³Á¤
- ½Å·ÚÇÏ´Â ¼ºñ½º : ´ÙÀ½
- ½Å·ÚÇÏ´Â ÀÎÅÍÆäÀ̽º : ´ÙÀ½
- ¸¶½ºÄ¿·¹À̵ù(Masquerading) : ´ÙÀ½
À§ ±×¸²°ú °°ÀÌ Æ÷½º Æ÷¿öµù ¼³Á¤ ȸéÀÌ ³ªÅ¸³ª¸é, Ãß°¡¸¦ ¼±ÅÃÇÑ´Ù.
À§ ±×¸²ÀÇ ³»¿ëÀº ´ÙÀ½°ú °°´Ù.
¼Ò½º
ÀÎÅÍÆäÀ̽º : eth0
ÇÁ·ÎÅäÄÝ : tcp
Æ÷Æ®: 80
¼ö½ÅÁö
IP ÁÖ¼Ò : 127.0.0.1
Æ÷Æ®: 8080
À¸·Î ¼³Á¤ÇÑ´Ù. ¼³Á¤¿Ï·á ÈÄ OK¸¦ ¼±ÅÃÇÑ´Ù.
¼³Á¤µÈ ³»¿ªÀ» ´ÙÀ½°ú °°ÀÌ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
¼³Á¤ ¿Ï·á ÈÄ Á¾·á¸¦ ¼±ÅÃÇÑ´Ù. ù ȸéÀÌ ³ªÅ¸³ª°í OK¸¦ ¼±ÅÃÇÏ°í °æ°í â¿¡¼ ¿¹¸¦ ¼±ÅÃÇÏ¸é ¼³Á¤³»¿ªÀÌ /etc/sysconfig/iptables¿¡ ÀúÀåµÇ°í, iptables ¼ºñ½º°¡ Àç ½ÃÀÛµÇ¾î ¹æÈº® ·êÀÌ Àû¿ëµÈ´Ù.
12.2.3.4. ping ÀÀ´ä ÇÏÁö ¾Ê±â
½Ã½ºÅÛÀÇ ³×Æ®¿öÅ© »óŸ¦ È®ÀÎÇϱâ À§ÇØ ping¸í·É¾î¸¦ ÀÌ¿ëÇÏ¿© ÀÀ´ä Å×½ºÆ®¸¦ ÇÑ´Ù. pingÀº ³×Æ®¿öÅ© È®ÀÎÀ» À§ÇØ À¯¿ëÇÏ°Ô »ç¿ëµÇÁö¸¸, ¾ÇÀÇÀûÀ¸·Î ÆÐŶũ±â¸¦ Á¶ÀýÇÏ¿© ³×Æ®¿öÅ©ÀÇ °ú´ÙÇÑ Æ®·¡ÇÈÀ» À¯¹ßÇϱ⵵ ÇÑ´Ù. ÀÌ·¯ÇÑ °ø°ÝÀ» Â÷´ÜÇϱâ À§ÇØ ping¿¡ ´ëÇØ ÀÀ´äÇÏÁö ¾Êµµ·Ï ¼³Á¤ÇÏ´Â °æ¿ì°¡ ÀÖ´Ù.
´ÙÀ½Àº ICMP ÇÁ·ÎÅäÄÝ Áß ping¿¡ ´ëÇØ ÀÀ´äÇÏÁö ¾Ê°Ô ¼³Á¤Çϰí ÀÖ´Ù.
~]# system-config-firewall-tui
ICMP ¼³Á¤À» À§Çؼ´Â ´ÙÀ½ ¸Þ´º¸¦ ¼±ÅÃÇÏ¿© ³Ñ¾î°£´Ù.
- ¹æÈº® ¼³Á¤ : »ç¿ëÀÚ ¼³Á¤
- ½Å·ÚÇÏ´Â ¼ºñ½º : ´ÙÀ½
- ½Å·ÚÇÏ´Â ÀÎÅÍÆäÀ̽º : ´ÙÀ½
- ¸¶½ºÄ¿·¹À̵ù(Masquerading) : ´ÙÀ½
- Æ÷Æ®Æ÷¿öµù : ´ÙÀ½
À§ ±×¸²°ú °°ÀÌ ICMP ÇÊÅÍ ¼³Á¤ ȸéÀÌ ³ªÅ¸³ª¸é, ¿¡ÄÚ ¿äû (ÇÎ)¿¡ üũÇϰí Á¾·á¸¦ ¼±ÅÃÇÑ´Ù. ù ȸéÀÌ ³ªÅ¸³ª°í OK¸¦ ¼±ÅÃÇÏ°í °æ°í â¿¡¼ ¿¹¸¦ ¼±ÅÃÇÏ¸é ¼³Á¤³»¿ªÀÌ /etc/sysconfig/iptables¿¡ ÀúÀåµÇ°í, iptables ¼ºñ½º°¡ Àç ½ÃÀÛµÇ¾î ¹æÈº® ·êÀÌ Àû¿ëµÈ´Ù.
ÀÌ»óÀ¸·Î 31¹øÂ° °Á¸¦ ¸¶¹«¸® ÇÕ´Ï´Ù. CentOS7ÀÇ firewalld°¡ ¸¶À½¿¡ µéÁö ¾Ê´Â´Ù¸é ¿¹Àü ¹æ½ÄÀ¸·Î iptables¸¦ TUI ÀÎÅÍÆäÀ̽º¸¦ »ç¿ëÇØ º¸¾Ò½À´Ï´Ù. firewalld´Â TUI¸¦ Áö¿øÇÏÁö ¾Ê¾Æ ¾Æ½¬¿ü´Âµ¥^^. ÇÑ µ¿¾È °Á¸¦ ½¬¾ú½À´Ï´Ù. »ì¾Æ°¡¸é¼ ¸¹Àº ÀϵéÀÌ Àֳ׿ä!! ¿½ÉÈ÷ ¶Ù´Â µµ¸®(Doly)¿´½À´Ï´Ù.^^
#################################################
* º» °Á´ ¾ðÁ¦µç °»½ÅµÉ ¼ö ÀÖÀ¸¸ç, ¿ø±ÛÀº www.linux.co.kr °ÁÂ>¸®´ª½º>DolyÀÇ ¿¬Àç°Á ¿¡¼ ¼öÁ¤µË´Ï´Ù.
* º» °ÁÂÀÇ ÀϺΠ¶Ç´Â Àüü¸¦ ÀοëÇÏ½Ç °æ¿ì, ¹Ýµå½Ã Ãâó¸¦ ¹àÇô Áֽñ⠹ٶø´Ï´Ù.
* ¼öÁ¤ÀÌ·Â :
2015.12.11(±Ý): ¾ÆÁÖ ¸¹ÀÌ ½¬´Ù°¡ Àû¾îº¾´Ï´Ù.