chain
chain INPUT (policy ACCEPT)
chain FORWARD
chain OUTPUT
--Connection Tracking
NEW : 처음연결
RELATED : 연결중에 port 변경해서 연결 - iSCSI, FTP data
ESTABLISHED : 연결중에 데이터 전송
-m state --state RELATED, ESTABLISHED
-m state
rule
Network Interface : -i lo, eth0, eth1
Targets : -j ACCEPT, DROP, REJECT, LOG(syslogd)
Protocol : -p tcp --sport --dport
-p udp --sport --dport
-p icmp --icmp-type any|echo-request
Tracking : -m state --state RELATED, ESTABLISHED
-m state --state NEW
IP/Network : -s 192.168.11.0/24
-d 192.168.11.111
localhost 모든 서비스 허가
# iptables -I INPUT -i lo -j ACCEPT
http 서비스 허가 80/tcp 443/tcp
# iptables -A INPUT -p tcp --dport 80 --sport 1024:65535 -j ACCEPT
# iptables -A INPUT -p tcp --dport 443 -j ACCEPT
ftp 서비스 허가 - 회사에서 접속되는 ftp만 허가 192.168.1.xx : 21/tcp
# iptables -I INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT
# iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 21 -j ACCEPT
ssh 서비스 허가 - 회사에서만 접속되는 sshd허가 :22/tcp
# iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW-p tcp --dport 22 -j ACCEPT
DNS 서비스 허가 : 53/udp ,53/tcp (DNS서버를 이중화시켰을때...)
# iptables -A INPUT -p udp --dport 53 -j ACCEPT
# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
icmp ping 요청 응답 : icmp
# iptables -p icmp --icmp-type --help
# iptables -p icmp -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
icmp 허가하지만 ping응답 금지
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
!!!!!!!!!!!!저장!!!!!!!!!!!!!!!!!
# iptables-save > /etc/sysconfig/iptables
위의 파일을 수정도 가능함.
또는
# /etc/init.d/iptables save
'Linux' 카테고리의 다른 글
| How To Uninstall, Disable, and Remove NetworkManager from RHEL6 and CentOS6 (0) | 2014.04.04 |
|---|---|
| [미완성포스트]facl (0) | 2014.03.28 |
| Linux의 부트과정 (0) | 2014.03.26 |
| kickstart 설치방법 (0) | 2014.03.26 |
| Linux LVM생성 (0) | 2014.03.25 |