iptables 사용법

iptables

iptables은 패킷이 netfilter를 통과할 때 적용되는 규칙을 관리하는 툴입니다. 패킷은 체인을 따라 흐르며, 각 테이블에는 체인에 따른 규칙이 정의되어있습니다.

https://stuffphilwrites.com/2014/09/iptables-processing-flowchart/

테이블/체인	PREROUTING	INPUT	FORWARD	OUTPUT	POSTROUTING
(routing decision)				v
raw	v			v
(connection tracking)	v			v
mangle	v	v	v	v	v
nat (DNAT)	v			v
(routing decision)	v
filter		v	v	v
security		v	v	v
nat (SNAT)		v			v

• 테이블
  • raw: connection tracking에서 처리할지 결정
  • mangle: 패킷 헤더의 일부를 변경
  • nat: 패킷의 source 또는 destination 주소를 변경
  • filter: 패킷 허용/거부
  • security:

규칙 추가

iptables [-t <table>] -A <chain> <rule>

iptables [-t <table>] -I <chain> [<ruleNum>] <rule>

• -t <table>
  • 생략하면 filter 테이블을 사용합니다.
• -A: 테이블 마지막에 규칙을 추가합니다.
• -I: <ruleNum>번째에 규칙을 추가합니다.
  • <ruleNum>이 생략되면 첫번째(1)에 추가합니다.
• <rule>
  • -p <protocol>
  • -i <inputInterface>
  • -o <outputInterface>
  • -s <source>
  • -d <destination>
  • -j <target>
    • <target>
      • ACCEPT: 패킷을 허용합니다.
      • DROP: 패킷을 삭제합니다.
      • REJECT: 패킷을 삭제하고, 적절한 응답을 보냅니다.
      • DNAT: 패킷의 destination 주소를 --to-destination <addr>로 변경합니다.
      • SNAT: 패킷의 source 주소를 --to-source <addr>로 변경합니다.
      • MASQUERADE: 패킷 source 주소를 인터페이스 주소로 변경합니다.
        • SNAT + --to-source <interfaceAddr>

규칙 확인

iptables [-t <table>] -L [<chain>] <option>

• -t <table>
  • 생략하면 filter 테이블을 사용합니다.
• -n: 주소를 숫자로 표시합니다.
• -v