Red Hat Summit5.13. iptables를 사용하여 IP 세트 설정 및 제어
firewalld 와 iptables (및 ip6tables) 서비스의 근본적인 차이점은 다음과 같습니다.
- iptables 서비스는
/etc/sysconfig/iptables및/etc/sysconfig/ip6tables에 구성을 저장하지만firewalld는 이를/usr/lib/firewalld/및/etc/firewalld/의 다양한 XML 파일에 저장합니다.firewalld는 Red Hat Enterprise Linux에 기본적으로 설치되므로/etc/sysconfig/iptables파일이 존재하지 않습니다. - iptables 서비스에서는 모든 변경 사항을 통해 이전 규칙을 모두 플러시하고
/etc/sysconfig/iptables에서 모든 새 규칙을 읽고,firewalld를 사용하면 모든 규칙을 다시 생성하지 않습니다. 차이점만 적용됩니다. 결과적으로firewalld는 기존 연결이 손실되지 않고 런타임 중에 설정을 변경할 수 있습니다.
둘 다 iptables 툴 을 사용하여 커널 패킷 필터와 통신합니다.
firewalld 대신 iptables 및 ip6tables 서비스를 사용하려면 먼저 root 로 다음 명령을 실행하여 firewalld 를 비활성화합니다.
~]# systemctl disable firewalld ~]# systemctl stop firewalld
~]# systemctl disable firewalld
~]# systemctl stop firewalld
그런 다음
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
iptables-services 패키지에는
root 로 다음 명령을 입력하여 iptables-services 패키지를 설치합니다.
~]# yum install iptables-services
~]# yum install iptables-servicesiptables 서비스와 ip6tables 서비스가 포함되어 있습니다.
그런 다음
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
모든 시스템에서 서비스를 시작할 수 있도록 하려면 다음 명령을 입력합니다.
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
iptables 및 ip6tables 서비스를 시작하려면 root 로 다음 명령을 입력합니다.
~]# systemctl start iptables ~]# systemctl start ip6tables
~]# systemctl start iptables
~]# systemctl start ip6tables~]# systemctl enable iptables ~]# systemctl enable ip6tables
~]# systemctl enable iptables
~]# systemctl enable ip6tables
ipset 유틸리티는 Linux 커널의 IP 세트를 관리하는 데 사용됩니다. IP 세트는 IP 주소, 포트 번호, IP 및 MAC 주소 쌍 또는 IP 주소와 포트 번호 쌍을 저장하기 위한 프레임워크입니다. 집합이 매우 큰 경우에도 집합에 대해 빠르게 일치할 수 있는 방식으로 집합이 인덱싱됩니다. IP 세트를 사용하면 더 간단하고 관리가 용이한 구성으로 iptables 를 사용할 때 성능상의 이점을 제공할 수 있습니다. iptables 일치 및 대상을 참조하여 커널에서 지정된 세트를 보호하는 참조를 생성합니다. 세트는 이를 가리키는 단일 참조가 있는 동안에는 삭제할 수 없습니다.
ipset 을 사용하면 다음과 같은 iptables 명령을 세트로 교체할 수 있습니다.
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
세트는 다음과 같이 생성됩니다.
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
그런 다음 set가 다음과 같이 iptables 명령에서 참조됩니다.
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
세트가 한 번 이상 사용된 경우 구성 시간에 저장합니다. 집합에 많은 항목이 포함된 경우 처리 시간에 저장 시간이 생성됩니다.If the set contains many entries a saving in processing time is made.
~]# iptables -A INPUT -s 10.0.0.0/8 -j DROP ~]# iptables -A INPUT -s 172.16.0.0/12 -j DROP ~]# iptables -A INPUT -s 192.168.0.0/16 -j DROP
~]# iptables -A INPUT -s 10.0.0.0/8 -j DROP
~]# iptables -A INPUT -s 172.16.0.0/12 -j DROP
~]# iptables -A INPUT -s 192.168.0.0/16 -j DROP~]# ipset create my-block-set hash:net ~]# ipset add my-block-set 10.0.0.0/8 ~]# ipset add my-block-set 172.16.0.0/12 ~]# ipset add my-block-set 192.168.0.0/16
~]# ipset create my-block-set hash:net
~]# ipset add my-block-set 10.0.0.0/8
~]# ipset add my-block-set 172.16.0.0/12
~]# ipset add my-block-set 192.168.0.0/16~]# iptables -A INPUT -m set --set my-block-set src -j DROP
~]# iptables -A INPUT -m set --set my-block-set src -j DROP
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}