linux 환경에서 방화벽이나 NAT 를 운영할 때 가장 많이 쓰이는 명령어가 바로 iptables 입니다.
어떤 특정 packet 들이 방화벽의 어떤 rule 에 막히는지 혹은 어떤 rule 에 의해 drop 되는지 등의 debugging 을 할 때 iptables 패킷 카운트 초기화 명령이 유용하게 쓰일 수 있습니다.
iptables 의 상태 확인 명령어 - iptables -L FORWARD -nv -t filter
filter table 의 FORWARD chain 을 보여줍니다.
현재 input table 의 최상된 rule 에 의해 accept 된 packet count 가 275개 인 것으로 보여지네요. 이 packet count 를 통해 현재 iptables rule (방화벽/NAT 등) 의 동작 유무 등을 쉽게 확인해 볼 수 있습니다.
예를 들면, 특정 IP 에 특정 port 에 대한 DROP rule 을 추가하고 packet count 확인하며 실제 packet 을 보내보면 쉽게 확인해볼 수 있습니다. 이 때, packet count 양이 너무 많아지면 쉽게 확인하기 힘들어서 저의 경우는 바로 바로 초기화 하며 사용합니다.
filter table 의 INPUT chain 의 packet count 초기화 - iptables -Z INPUT -t filter
"Z" 옵션을 사용하면 packet count 를 zero로 초기화해 줍니다.
"iptables -Z" 이렇게 사용할 경우 모든 table 의 모든 chain 을 초기화하고 원하는 table 과 chain 을 지정하여 초기화 할 수도 있습니다.
저는 filter table 의 INPUT chain 의 packet count 초기화하도록 하겠습니다.
초기화 전 packet count: 1423개
초기화 후 packet count: 16개
'프로그래밍 > 네트워크' 카테고리의 다른 글
| [TOOL] tcpdump 간단 예제 - 사용법 (0) | 2020.10.28 |
|---|
댓글