개발 Q&A

제목 리눅스 방화벽(아웃바운드)설정 이렇게 하는게 맞나요?
글쓴이 니로 작성시각 2016/07/05 11:15:35
댓글 : 6 추천 : 0 스크랩 : 0 조회수 : 21793   RSS

 

이니시스 모바일 결제 모듈 작업중에 방화벽 문제로 소켓통신이 되고 있지 않습니다.

(방화벽을 끄고 결제를 하면 정상작동됨)

 

이니시스측에 문의햇더니 해당 답변이 왔는데요..

 

리눅스 iptables에 

-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

이렇게 아웃바운드 규칙을 추가를 했는데도 소켓통신이 되지를 않는데..

 

혹시 제가 잘못 추가 한건가요 ?

 

 

혹시나해서 전체 규칙 올려드립니다.

 

 

      1 # Generated by iptables-save v1.4.7 on Tue Jul  5 11:33:02 2016
      2 *filter
      3 :INPUT ACCEPT [0:0]
      4 :FORWARD ACCEPT [0:0]
      5 :OUTPUT ACCEPT [11:1172]
      6 -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT
      7 -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
      8 -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
      9 -A INPUT -p tcp -m tcp --sport 21 -j ACCEPT
     10 -A INPUT -p tcp -m tcp --sport 37 -j ACCEPT
     11 -A INPUT -p tcp -m tcp --dport 2200 -j ACCEPT
     12 -A INPUT -p tcp -m tcp --sport 2200 -j ACCEPT
     13 -A INPUT -p udp -m udp --dport 53 -j ACCEPT
     14 -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
     15 -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
     16 -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
     17 -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
     18 -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
     19 -A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
     20 -A INPUT -p tcp -m tcp --sport 110 -j ACCEPT
     21 -A INPUT -p tcp -m tcp --sport 143 -j ACCEPT
     22 -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
     23 -A INPUT -p tcp -m tcp --dport 444 -j ACCEPT
     24 -A INPUT -p tcp -m tcp --sport 587 -j ACCEPT
     25 -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
     26 -A INPUT -p tcp -m tcp --sport 3306 -j ACCEPT
     27 -A INPUT -p tcp -m tcp --dport 3690 -j ACCEPT
     28 -A INPUT -p tcp -m tcp --sport 3690 -j ACCEPT
     29 -A INPUT -p tcp -m tcp --dport 5000:6000 -j ACCEPT
     30 -A INPUT -p tcp -m tcp --sport 5000:6000 -j ACCEPT
     31 -A INPUT -p tcp -m tcp --dport 4000:4004 -j ACCEPT
     32 -A INPUT -p tcp -m tcp --dport 4000:4004 -j ACCEPT
     33 -A INPUT -p tcp -m tcp --sport 8090 -j ACCEPT
     34 -A INPUT -p tcp -m tcp --dport 8090 -j ACCEPT
     35 -A INPUT -p tcp -m tcp --sport 8080 -j ACCEPT
     36 -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
     37 -A INPUT -p tcp -m tcp --sport 8282 -j ACCEPT
     38 -A INPUT -p tcp -m tcp --sport 8003 -j ACCEPT
     39 -A INPUT -p tcp -m tcp --sport 8002 -j ACCEPT
     40 -A INPUT -p tcp -m tcp --sport 8001 -j ACCEPT
     41 -A INPUT -p tcp -m tcp --dport 30000:30040 -j ACCEPT
     42 -A INPUT -p tcp -m tcp --dport 33000:33040 -j ACCEPT
     43 -A INPUT -p tcp -m tcp --dport 1523 -j ACCEPT
     44 -A INPUT -p udp -m udp --sport 111 -j ACCEPT
     45 -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT
     46 -A INPUT -p tcp -m tcp --sport 873 -j ACCEPT
     47 -A INPUT -p tcp -m tcp --sport 111 -j ACCEPT
     48 -A INPUT -p udp -m udp --sport 2049 -j ACCEPT
     49 -A INPUT -p tcp -m tcp --sport 2049 -j ACCEPT
     50 -A INPUT -p tcp -m tcp --sport 1521 -j ACCEPT
     51 -A INPUT -p udp -m udp --dport 4000:4004 -j ACCEPT
     52 -A INPUT -p udp -m udp --sport 4000:4004 -j ACCEPT
     53 -A INPUT -d 203.238.37.3/32 -p tcp -m tcp --dport 34049 -j ACCEPT
     54 -A INPUT -d 211.219.96.180/32 -p tcp -m tcp --dport 34049 -j ACCEPT
     55 -A INPUT -s 203.238.37.3/32 -p tcp -m tcp --sport 34049 -j ACCEPT
     56 -A INPUT -s 211.219.96.180/32 -p tcp -m tcp --sport 34049 -j ACCEPT
     57 -A INPUT -p tcp -m tcp --dport 80 -m recent --update --seconds 1 --hitcount 10 --name HTTP --rsource -j DROP
     58 -A INPUT -p tcp -m tcp --dport 1:65535 -j DROP
     59 -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
     60 COMMIT
     61 # Completed on Tue Jul  5 11:33:02 2016

 

 다음글 xml을 가지고 모바일 더보기 구현 가능한가요? (8)
 이전글 로컬에 설치한 게시판의 속도가 느릴때... (1)

댓글

kaido / 2016/07/05 11:21:46 / 추천 0

iptable 저장하고 재시작 해보셨나요?

참고  http://blog.naver.com/PostView.nhn?blogId=jxs2&logNo=110147025566

 

 

아참 118.129... 이 아이피로 많이 체크 하던거 같던데요. 둘다 쓴다고 하니 둘다 오픈되어 있어야 합니다.

그래도 간혹 잘 안될때가 있는데, 그럴때 저는 그냥 vi로  iptable 열고 수정해 해버립니다.

니로 / 2016/07/05 11:30:27 / 추천 0
둘다 오픈이라는 말씀은 443포트만 열지말고 아이피랑 포트 같이 열라는거죠?
kaido / 2016/07/05 11:35:15 / 추천 0

네. 그런 의미입니다. 간혹 아이피를 직접 지정하시는 분들이 계신데다

클라우드 서버는 접근 아이피 관리를 별도로 하는 경우가 많아서 예를 들은것 입니다.

 

-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

아이피를 지정 하지 않으면 모든 아이피에 대해서 작동 합니다.

 

일단 다시 적용 되는지 확인해 보세요.

니로 / 2016/07/05 11:39:45 / 추천 0

일단 적어주는 위 대로 했을때는 소켓통신이 안되더니

아이피를 지정했더니 되는데... 이게 무슨경우인지 모르겟네요 ;

kaido / 2016/07/05 11:52:47 / 추천 0

뭣이 중요한가요? 해결된 사실이 중요하죠 ㅎㅎ

급한 불이 꺼졌으니, 왜 그런지는 천천히 분석 하시면 됩니다.

니로 / 2016/07/05 14:12:45 / 추천 0

ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 넵!! 답변 감사합니다!