iptables와 연결 추적(Connection Tracking)
페이지 정보
작성자
차동박
쪽지보내기
메일보내기
자기소개
아이디로 검색
전체게시물
댓글 0건
조회 10,283회
작성일 08-06-20 12:31
본문
7.6. iptables와 연결 추적(Connection Tracking)
iptables는 연결 추적(connection tracking)이라는 방법을 사용하여 내부 네트워크 상 서비스 연결 상태에 따라서 그 연결을 감시하고 제한할 수 있게 해줍니다. 연결 추적 방식은 연결 상태를 표에 저장하기 때문에, 다음과 같은 연결 상태에 따라서 시스템 관리자가 연결을 허용하거나 거부할 수 있습니다:
-
NEW — 새로운 연결을 요청하는 패킷, 예, HTTP 요청
-
ESTABLISHED — 기존 연결의 일부인 패킷
-
RELATED — 기존 연결에 속하지만 새로운 연결을 요청하는 패킷, 예를 들면 접속 포트가 20인 수동 FTP의 경우 전송 포트는 사용되지 않은 1024 이상의 어느 포트라도 사용 가능합니다.
-
INVALID — 연결 추적표에서 어디 연결에도 속하지 않은 패킷.
상태에 기반(stateful)한 iptables 연결 추적 기능은 어느 네트워크 프로토콜에서나 사용 가능합니다. UDP와 같이 상태를 저장하지 않는 (stateless) 프로토콜에서도 사용할 수 있습니다. 다음 예시에서는 기존 연결(established)과 관련된 패킷만 전송하는 연결 추적 방식을 사용하는 규칙을 보여줍니다:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ALLOW |
관련링크
댓글목록
등록된 댓글이 없습니다.