기본 콘텐츠로 건너뛰기

Ubuntu IP forward setting

우분투에는 레드햇 계열과 달리 iptables의 설정을 저장해놓는 파일이 없다. 좀 만들어 놓지... = _=|

이래 저래 뒤져보니 우분투 공식 사이트에서 /etc/init.d/network 스크립트를 건들이라고 하는데, 그렇게 하면 패키지 업데이트할 때마다 변경된 파일을 어떻게 할 것인지 귀찮게 물어보니 별로 권하고 싶지 않다.

이래 저래 찾아본 결과, /etc/network/if-pre-up.d/ 와 /etc/network/if-post-down.d/ 에 적당히 스크립트를 만들어서 넣을 수 있다고 한다. 나이스!

정확하게 하려면 if-pre-up.d에는 NIC 올리기 전에 실행하는 스크립트로 iptables 세팅을 추가하고, if-post-down.d에는 NIC을 내린 뒤에 실행하는 스크립트로 iptables 세팅을 제거하도록 스크립트를 짜야한다. 그러나 격하게 귀차니즘이 몰려오는 관계로 if-pre-up.d에만 iptables 세팅을 넣는 스크립트를 추가하는 것으로 혼자 합의하였다. (응?)

아래는 IP foward 세팅을 시스템이 켜질 때마다 자동으로 수행할 수 있도록 만든 스크립트이며, 시스템 변경 사항이 없다면 잘 작동할 것이다.

당연히 MYSOURCE 정도는 자신이 허가할 PC의 IP를 세팅하는 수고 정도는 해주고, 우분투 깔고 딱! 한 번 스크립트를 실행한 뒤, 시스템을 재시작하면 알아서 세팅이 들어간 것을 확인할 수 있다.

#!/bin/sh

MYINTERFACE_IN=eth0
MYINTERFACE_OUT=eth0
MYSOURCE=[사용할IP:예)192.168.0.9]/[서브넷마스크:예)32]

echo "net.ipv4.ip_forward = 1" > /etc/sysctl.d/100-ip_forward.conf

echo '#!/bin/sh' > /etc/network/if-pre-up.d/iptables-restore
echo 'iptables-restore < /etc/security/iptables.conf' >> /etc/network/if-pre-up.d/iptables-restore
chmod +x /etc/network/if-pre-up.d/iptables-restore

echo "
*nat
:PREROUTING ACCEPT [58:9060]
:INPUT ACCEPT [53:8808]
:OUTPUT ACCEPT [20:1472]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE 
COMMIT

*filter
:INPUT ACCEPT [575:231513]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [375:210891]
-A FORWARD -s ${MYSOURCE} -i ${MYINTERFACE_IN} -o ${MYINTERFACE_OUT} -m conntrack --ctstate NEW -j ACCEPT 
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
COMMIT
" > /etc/security/iptables.conf
chmod 0600 /etc/security/iptables.conf

댓글

이 블로그의 인기 게시물

Bash Array, Map 정리

Bash에서 Array, Map에 대한 정리. (매번 찾기 귀찮) 찾아보진 않았지만, Bash에서 Array든 Map이든 동일하게 Map(C++에서 Unordered Map)으로 동작하는 것 같다. 왜냐하면, Array의 Index가 연속하지 않아도 동작한다. 그저 Key가 0 이상의 정수인 Map이랑 비슷하게 동작한다. 예) 1, 2, 3, 9, 10 Array # 생성 declare -a empty_array declare -a ar=(haha hoho baba "long string haha hoho") # 접근 echo "ar[0]=${ar[0]}" echo "all as array=${ar[@]}" # 큰따옴표 안에서 각 원소를 따로따로 전달한다. echo "all as one=${ar[*]}" # 큰따옴표 안에서 각 원소를 문자열 하나로 합쳐 전달한다. echo "indexes=${!ar[@]}" echo "indexes=${!ar[*]}" echo "length=${#ar[@]}" echo "length=${#ar[*]}" echo "last=${ar[-1]}" echo "last=${ar[@]: -1}" # 콜론 뒤에 빈 칸이 꼭 필요하다. 옛 방식 # 현재 상황 declare -p ar #(출력) declare -a ar=([0]="haha" [1]="hoho" [2]="baba" [3]="long string haha hoho") ar[100]=hello # 인덱스를 건너 뛰어도 동작한다. declare -p ar #(출력) declare -a ar=([0]="haha" [1]="hoho" [2]="baba" [3]=&

설치한 패키지에서 RPM 추출하기

오래된 패키지를 관리할 저장소가 없어졌고, 기존 패키지로 다른 서버를 세팅해야할 일이 생겼다면 RPM의 리패키지 기능을 이용해보자. $ rpm -e --repackage [PACKAGE_NAME] 위와 같이 리패키지하면, /var/spool/repackage/ 에 생성한 RPM파일이 있다. :-)