• https://blog.cloudflare.com/how-to-drop-10-million-packets-ko/

패킷 필터링

• 리눅스 패킷 필터링은 Netfilter라는 커널 기능에서 제공
• 패킷 필터링을 사용하면 여러 조건으로 패킷을 검사해 허용한 패킷만 로컬 프로세스에 전달하는 것이 가능
• 체인:
  • INPUT: 호스트로 들어온 패킷
  • OUPUT: 호스트에서 나가는 패킷
  • FORWARD: 다른 호스트로 전달되는 패킷
• 타켓(Target): 필터링 규칙에 맞는 패킷에 대한 처리 동작
  • ACCEPT: 허용
  • DROP: 파기 (무시)
  • REJECT: 거부 (출발지에 에러를 돌려줌)
  • LOG: 로그 출력

iptables 명령

옵션

• -A: 지정한 체인의 마지막에 규칙을 추가
• -D: 지정한 체인에서 규칙을 삭제
• -P: 지정한 체인의 정책을 변경 (기본정책 - 기본적으로 ACCEPT 할 것인지 DROP 할 것인지 등)
• -L <체인>: 체인의 규칙리스트를 표시
• -N 체인: 지정한 이름으로 사용자 정의 체인을 생성
• -X 체인: 지정한 사용자 정의 체인을 삭제
• -I: 규칙 변호를 지정해 규칙을 삽입
• -F 체인: 지정한 체인 내 규칙을 모두 제거
• -t 테이블: 테이블을 지정