JAESOO.COM (재수닷컴, 장재수) - CentOS에서 Iptables 방화벽 포트 OPEN하기

CentOS 에서는 Install을 하는경우 자동적으로 Iptables 방화벽이 설치되는 것 같다.

그럼 우선 설치다하고 나서 WAS , MYSQL 등등의 Setting 후 외부에서 접속하는 방법에 대해서 알아보자.

[1] 방화벽 설정파일은 어디있는가?

아래 경로를 보면 방화벽 설정파일을 열어볼 수가 있다.

# vim /etc/sysconfig/iptables

[2] 설정파일을 대충 파악하자.

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

(노랑색) 위 설정을 보면 22번 sshd port가 현재 열려있는것을 확인가능하다.

(파랑색) 또한 22번 이외의 다른 것들은 모두 막아라 라는 코드가 있다.

그럼 3306,21,80 포트를 를 추가하여 보자.

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

위 처럼 포트를 추가하고 저장한다음 잘 추가되었는지 보도록 하자.

단!! 주의사항은 위 파랑색으로 된 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

요코드드는 삭제한 후에 해야 한다 그럼 다음과 같이 되겠죠?

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
COMMIT

자 , 이제 iptables가 잘 적용이 되었는지 확인해 보도록 하자.

[root@localhost sysconfig]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- anywhere             anywhere            icmp any
ACCEPT     esp -- anywhere             anywhere
ACCEPT     ah   -- anywhere             anywhere
ACCEPT     udp -- anywhere             224.0.0.251         udp dpt:mdns
ACCEPT     udp -- anywhere             anywhere            udp dpt:ipp
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:ipp
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp -- anywhere             anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp -- anywhere             anywhere            state NEW tcp dpt:ftp
ACCEPT     tcp -- anywhere             anywhere            state NEW tcp dpt:mysql
ACCEPT     tcp -- anywhere             anywhere            state NEW tcp dpt:http
[root@localhost sysconfig]#

위 보는바와 같이 적용이 잘 되었다. 이제 데몬을 재시작 하도록 하자.

# /etc/init.d/iptables restart

다시 이제 방화벽을 적용해야 한다, 아까 위에서 빼버린 코드를 넣고 다시금 재시작 하도록 한다.

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 코드 추가함

최종 적으로 , 다시 iptables -L 명령어를 통해 보도록 하자.

[root@localhost sysconfig]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

위 코드에서 보듯이 다시금 reject를 통해서 방화벽이 추가된 것을 확인할 수 있따.

이상이 IPTABLES의 PORT를 여는 방법에 대해서 서술 하였다.

- 2012.07.02 랑이씀 -

출처 : http://srzero.tistory.com/entry/CentOS-Iptables-방화벽-포트-OPEN하기

CentOS에서 Iptables 방화벽 포트 OPEN하기

단축키

단축키

Who's JaeSoo

공부 게시판

공부에 도움되는 글을 올려주세요.

[공지] 공부 게시판 입니다.

[Rocky Linux 9] /home 용량 줄이고 /root 용량 늘리기

[Rocky Linux] LVM 환경에서 /root 파티션 공간 부족 해결

일반적인 Htaccess 301 리디렉션 규칙

[Linux/Rocky] SSH Root 로그인하는 방법 (root 접속 허용)

MariaDB my.cnf 설정 파일

MariaDB 설정 파일 개요와 구조

윈도우11 비밀번호 분실시 설정 변경방법 (Windows10 포함)

리눅스 서버 설치 중 에러 "Failed to find a suitable stage1 device"

Linux 11 . Linux 설치 시 lvm 수동설정

[Rocky Linux] 누구나 쉽게 따라하는 Rocky Linux 9.0 OS 다운로드 및 설치 방법~!!

Linux/Rocky Linux Rocky Linux : Composer 설치

[Rocky Linux] 록키 리눅스 최신 업데이트 적용 방법

rocky linux 커널 업데이트

[Windows] OWASP ZAP 사용법

[웹 취약점] 웹서버 디렉토리 리스팅 방지

Clonezilla(클론질라) 백업파일 하드디스크로 복구 방법

클론질라 사용 방법 - OS 이미지 백업 CloneZilla

[Linux / Rocky] FTP 접속 관련 설정 실습 예제

Could not reliably determine the server's fully qualified domain name

[아파치] 아파치 웹서버에 .htaccess 파일 설정하는 방법

공부 게시판

즐겨찾기 (가족)

즐겨찾기 (업무)

즐겨찾기 (취미)

즐겨찾기 (강의, 커뮤니티)

베너