iptables는 단순한 방화벽을 넘어 다음과 같은 기능을 수행할 수 있습니다.

• 패킷 필터링
• NAT (Network Address Translation)
• 트래픽 제어
• 패킷 수정
• 네트워크 보안 정책 적용

이번 글에서는 iptables의 구조, 동작 방식, NAT 처리 과정까지 전체적으로 정리해 보겠습니다.

iptables 기본 구조

iptables는 다음과 같은 구조로 동작합니다.

text
Table
 └ Chain
    └ Rule

구조와 의미

Table - 패킷 처리 목적

Chain - 패킷 흐름 단계

Rule - 실제 패킷 처리 규칙

예를 들어 다음 규칙을 보겠습니다.

bash
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

• INPUT 체인에 규칙 추가
• TCP 22번 포트 허용

iptables Table 종류

iptables에는 여러 Table이 존재합니다.

Table 역할

filter - 기본 방화벽

nat - 주소 변환

mangle - 패킷 수정

raw - connection tracking 제어

security - SELinux 정책

일반적인 서버에서는 주로 다음 세 가지를 사용합니다.

text
filter
nat
mangle

iptables Chain 구조

각 Table에는 Chain이 존재합니다.

대표적인 체인

Chain 설명

INPUT - 서버로 들어오는 패킷

OUTPUT - 서버에서 나가는 패킷

FORWARD - 다른 네트워크로 전달되는 패킷

NAT table에서는 다음 체인이 사용됩니다.

Chain 설명

PREROUTING - 라우팅 전에 처리

POSTROUTING - 라우팅 후 처리

OUTPUT - 로컬 패킷 처리

iptables 패킷 흐름

iptables를 이해하려면 패킷 흐름 구조를 알아야 합니다.

패킷이 서버에 도착하면 다음 순서를 따릅니다.

text
Network Interface
      ↓
PREROUTING
      ↓
Routing Decision
   ↓        ↓
INPUT     FORWARD
   ↓        ↓
Local     Other Host
Process
   ↓
OUTPUT
   ↓
POSTROUTING
   ↓
Network

PREROUTING

패킷이 시스템에 들어온 직후 처리

주로 NAT에서 사용

INPUT

서버로 들어오는 패킷 처리

예

• SSH 접속
• 웹 요청

FORWARD

서버가 라우터 역할을 할 때 사용

예

• VPN 서버
• NAT 게이트웨이

OUTPUT

서버에서 외부로 나가는 패킷

예

• curl 요청
• DNS 요청

POSTROUTING

패킷이 나가기 직전에 처리

주로 SNAT 처리

iptables Rule 처리 방식

iptables 규칙은 위에서 아래 순서로 처리됩니다.

예

text
1 allow 192.168.1.10
2 deny all

192.168.1.10에서 패킷이 들어오면

text
rule 1 → allow

반대로

text
1 deny all
2 allow 192.168.1.10

이면

text
rule 1에서 drop

즉

👉 첫 번째로 매칭된 규칙이 적용됩니다.

iptables 기본 명령어

현재 규칙 확인

bash
iptables -L -n -v

규칙 추가

bash
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

규칙 삭제

bash
iptables -D INPUT 1

정책 설정

bash
iptables -P INPUT DROP

iptables 상태 기반 필터링

iptables는 stateful firewall 기능을 제공합니다.

예

bash
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

상태 종류 및 의미

NEW - 새로운 연결

ESTABLISHED - 이미 연결된 트래픽

RELATED - 관련 트래픽

INVALID - 잘못된 패킷

이 규칙은 대부분의 서버에서 필수적으로 사용됩니다.

iptables NAT 기능

iptables는 NAT 기능도 제공합니다.

NAT는 주소 변환 기능입니다.

SNAT

출발지 주소 변경

예

bash
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 1.2.3.4

사용 예

• 인터넷 공유
• NAT 게이트웨이

MASQUERADE

SNAT 자동 버전

bash
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

주로

• 가정용 라우터
• VPN 서버

에서 사용합니다.

DNAT

목적지 주소 변경

예

bash
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.100:80

예

text
public ip → internal server

즉 포트 포워딩 기능입니다.

iptables에서 자주 사용하는 기본 규칙

일반적인 서버 방화벽 설정

bash
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP

의미

• 기존 연결 허용
• SSH 허용
• HTTP 허용
• HTTPS 허용
• 나머지 차단

iptables의 역할

iptables는 단순한 방화벽이 아니라 Linux 패킷 처리 시스템 제어 도구입니다.

iptables를 이용하면 다음 시스템을 만들 수 있습니다.

• 방화벽
• NAT gateway
• VPN 서버
• Router
• IDS/IPS 기반 시스템

정리

iptables는 Linux 네트워크 보안에서 매우 중요한 역할을 합니다.

핵심 개념

• Table → Chain → Rule 구조
• 패킷 흐름 이해
• NAT 처리
• 상태 기반 필터링

이 네 가지를 이해하면 대부분의 iptables 설정을 이해할 수 있습니다.