2011년 12월 22일 목요일

Ubuntu IP forward setting

우분투에는 레드햇 계열과 달리 iptables의 설정을 저장해놓는 파일이 없다. 좀 만들어 놓지... = _=|

이래 저래 뒤져보니 우분투 공식 사이트에서 /etc/init.d/network 스크립트를 건들이라고 하는데, 그렇게 하면 패키지 업데이트할 때마다 변경된 파일을 어떻게 할 것인지 귀찮게 물어보니 별로 권하고 싶지 않다.

이래 저래 찾아본 결과, /etc/network/if-pre-up.d/ 와 /etc/network/if-post-down.d/ 에 적당히 스크립트를 만들어서 넣을 수 있다고 한다. 나이스!

정확하게 하려면 if-pre-up.d에는 NIC 올리기 전에 실행하는 스크립트로 iptables 세팅을 추가하고, if-post-down.d에는 NIC을 내린 뒤에 실행하는 스크립트로 iptables 세팅을 제거하도록 스크립트를 짜야한다. 그러나 격하게 귀차니즘이 몰려오는 관계로 if-pre-up.d에만 iptables 세팅을 넣는 스크립트를 추가하는 것으로 혼자 합의하였다. (응?)

아래는 IP foward 세팅을 시스템이 켜질 때마다 자동으로 수행할 수 있도록 만든 스크립트이며, 시스템 변경 사항이 없다면 잘 작동할 것이다.

당연히 MYSOURCE 정도는 자신이 허가할 PC의 IP를 세팅하는 수고 정도는 해주고, 우분투 깔고 딱! 한 번 스크립트를 실행한 뒤, 시스템을 재시작하면 알아서 세팅이 들어간 것을 확인할 수 있다.

#!/bin/sh

MYINTERFACE_IN=eth0
MYINTERFACE_OUT=eth0
MYSOURCE=[사용할IP:예)192.168.0.9]/[서브넷마스크:예)32]

echo "net.ipv4.ip_forward = 1" > /etc/sysctl.d/100-ip_forward.conf

echo '#!/bin/sh' > /etc/network/if-pre-up.d/iptables-restore
echo 'iptables-restore < /etc/security/iptables.conf' >> /etc/network/if-pre-up.d/iptables-restore
chmod +x /etc/network/if-pre-up.d/iptables-restore

echo "
*nat
:PREROUTING ACCEPT [58:9060]
:INPUT ACCEPT [53:8808]
:OUTPUT ACCEPT [20:1472]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE 
COMMIT

*filter
:INPUT ACCEPT [575:231513]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [375:210891]
-A FORWARD -s ${MYSOURCE} -i ${MYINTERFACE_IN} -o ${MYINTERFACE_OUT} -m conntrack --ctstate NEW -j ACCEPT 
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
COMMIT
" > /etc/security/iptables.conf
chmod 0600 /etc/security/iptables.conf