iptables 확장 기능 ipset 통한 네트워크 IP주소 집합 효율적인 관리

IPSet - Mastering Proxmox - Third Edition

iptables는 Linux 운영 체제에서 널리 사용되는 방화벽 소프트웨어입니다. iptables는 패킷 필터링, NAT(Network Address Translation), 패킷 포워딩 등을 설정할 수 있게 해줍니다. iptables 확장 기능 중 하나인 ipset은 효율적이고 유연한 IP 주소 및 네트워크 관리 기능을 제공합니다.

ipset이란?

ipset은 IP 주소나 네트워크 주소 등의 집합을 관리할 수 있는 도구로, 주로 iptables와 함께 사용되어 방화벽 규칙을 보다 효율적으로 관리할 수 있습니다. ipset을 사용하면 수많은 IP 주소를 개별적으로 iptables 규칙에 추가하는 대신, IP 주소 집합을 하나의 ipset으로 관리하고 iptables 규칙에서 이를 참조할 수 있습니다. 이는 방화벽 규칙을 간단하게 만들고, 성능을 향상시킵니다.

ipset의 주요 특징

1. 효율성: 다수의 IP 주소를 하나의 집합으로 관리함으로써 iptables 규칙의 수를 줄여 성능을 향상시킵니다.
2. 유연성: 다양한 종류의 집합을 지원합니다. 예를 들어, IP 주소 집합, 네트워크 주소 집합, 포트 번호 집합 등을 생성할 수 있습니다.
3. 동적 관리: 실시간으로 집합에 항목을 추가하거나 제거할 수 있어, 네트워크 관리가 용이합니다.

ipset과 iptables의 차이점

• 관리 방식: iptables는 IP 주소나 네트워크를 개별적으로 규칙에 추가하지만, ipset은 IP 주소나 네트워크를 집합으로 관리합니다.
• 성능: ipset을 사용하면 다수의 IP 주소를 단일 규칙으로 관리할 수 있어, iptables의 성능을 크게 향상시킬 수 있습니다.
• 유연성: ipset은 다양한 유형의 집합을 지원하여 네트워크 관리에 유연성을 제공합니다.

ipset 도입 시 고려해야 할 사항

1. 호환성: 사용 중인 Linux 커널이 ipset을 지원하는지 확인해야 합니다. 대부분의 최신 배포판은 ipset을 기본적으로 지원합니다.
2. 패키지 설치: ipset을 설치해야 합니다. 일반적으로 ipset 패키지는 대부분의 Linux 배포판에서 기본 패키지 관리 도구로 설치할 수 있습니다.

    sudo apt-get install ipset   # Debian/Ubuntu 계열
    sudo yum install ipset       # RHEL/CentOS 계열

3. 집합 관리: ipset을 사용하여 IP 주소 집합을 생성하고 관리하는 방법을 숙지해야 합니다.
4. iptables 규칙 수정: iptables 규칙을 ipset을 참조하도록 수정해야 합니다.

ipset 사용 예제

다음은 ipset을 사용하여 특정 IP 주소 집합을 차단하는 예제입니다.

1. ipset 집합 생성

    sudo ipset create blacklist hash:ip

2. ipset에 IP 주소 추가

    sudo ipset add blacklist 192.168.1.1
    sudo ipset add blacklist 192.168.1.2

3. iptables 규칙 추가

    sudo iptables -I INPUT -m set --match-set blacklist src -j DROP

이 예제에서는 blacklist라는 이름의 IP 주소 집합을 생성하고, 특정 IP 주소를 이 집합에 추가한 후, iptables 규칙에서 이 집합에 속한 IP 주소를 차단하도록 설정합니다.

 

ipset은 다수의 IP 주소를 효율적으로 관리하고 iptables의 성능을 향상시킬 수 있는 도구입니다. 이를 도입할 때는 시스템의 호환성, 패키지 설치, 집합 관리 방법, iptables 규칙 수정 등을 고려해야 합니다. ipset을 사용하면 네트워크 관리가 더욱 유연하고 효율적으로 변할 수 있습니다. 기존에 iptables에서 개별 IP 주소를 관리하고 체인(chain)을 구성하던 방식을 ipset을 사용하여 IP 주소나 네트워크 주소를 집합으로 관리하면 더욱 효율적으로 운영할 수 있습니다. 이는 특히 많은 IP 주소나 네트워크를 관리해야 할 때 유용합니다.

iptables의 체인 구성 방식과 ipset을 사용한 방식 비교

기존 iptables 체인 구성 방식

기존 iptables에서 많은 IP 주소를 차단하거나 허용하려면 각 IP 주소마다 규칙을 작성해야 합니다.

sudo iptables -A INPUT -s 192.168.1.1 -j DROP
sudo iptables -A INPUT -s 192.168.1.2 -j DROP
sudo iptables -A INPUT -s 192.168.1.3 -j DROP
# ... 많은 IP 주소 규칙 추가

이런 방식은 규칙이 많아지면 성능 저하와 관리의 복잡성을 초래합니다.

ipset을 사용한 방식

ipset을 사용하면 많은 IP 주소를 하나의 집합으로 관리할 수 있습니다. 예를 들어, 차단할 IP 주소들을 blacklist 집합에 추가하고, 이를 iptables 규칙에서 참조합니다.

1. ipset 집합 생성

    sudo ipset create blacklist hash:ip

2. ipset에 IP 주소 추가

    sudo ipset add blacklist 192.168.1.1
    sudo ipset add blacklist 192.168.1.2
    sudo ipset add blacklist 192.168.1.3
    # ... 많은 IP 주소를 집합에 추가

3. iptables 규칙에서 ipset 참조

    sudo iptables -I INPUT -m set --match-set blacklist src -j DROP

장점

1. 성능 향상: iptables 규칙의 수를 줄임으로써 성능이 향상됩니다. 많은 IP 주소를 개별 규칙으로 추가할 필요가 없으므로 패킷 처리 속도가 빨라집니다.
2. 관리의 용이성: IP 주소를 집합으로 관리하기 때문에 새로운 IP 주소를 추가하거나 제거하는 작업이 간단해집니다.
3. 유연성: 다양한 유형의 집합(hash:ip, hash:net, list:set 등)을 지원하여 다양한 네트워크 관리 시나리오에 대응할 수 있습니다.
4. 동적 변경: ipset을 사용하면 실행 중인 방화벽 규칙을 중단하지 않고도 집합을 동적으로 변경할 수 있습니다.

기존 iptables 체인 방식은 많은 IP 주소를 관리할 때 성능과 관리 측면에서 비효율적일 수 있습니다. ipset을 도입하면 다수의 IP 주소를 하나의 집합으로 관리하고 iptables 규칙에서 이를 참조함으로써 성능과 관리의 효율성을 크게 향상시킬 수 있습니다. 이를 통해 방화벽 운영이 더 쉽고 효과적이게 됩니다.

 

firewalld와 iptables/ipset의 비교를 통해 각 도구의 특징과 장단점을 이해하고, 운영 환경과 요구 사항에 따라 적절한 도구를 선택하는 데 도움이 됩니다. 아래에서 두 도구를 비교해보겠습니다.

firewalld와 iptables/ipset 비교

firewalld

특징

1. 존(zone) 기반 관리: 네트워크 인터페이스나 IP 주소를 특정 존에 할당하여 관리합니다. 각 존은 서로 다른 방화벽 규칙을 가질 수 있습니다.
2. 동적 관리: 네트워크 연결을 끊지 않고 방화벽 규칙을 동적으로 변경할 수 있습니다.
3. D-Bus 인터페이스: firewalld는 D-Bus 인터페이스를 제공하여 다른 프로그램이나 스크립트에서 방화벽 설정을 쉽게 변경할 수 있습니다.
4. 관리 도구: firewall-cmd 명령어를 사용하여 방화벽 규칙을 관리할 수 있습니다.

장점

• 직관적인 관리: 존 기반 관리 방식이 직관적이고 네트워크 환경에 따른 유연한 설정이 가능합니다.
• 동적 업데이트: 방화벽 규칙을 변경할 때 네트워크 연결을 끊지 않아도 됩니다.
• 통합 관리: 네트워크 인터페이스, 서비스, 포트, IP 주소 등을 통합적으로 관리할 수 있습니다.

단점

• 복잡한 설정: 복잡한 방화벽 규칙을 설정할 때 학습 곡선이 있을 수 있습니다.
• 리소스 사용: iptables보다 더 많은 리소스를 사용할 수 있습니다.

iptables/ipset

특징

1. 저수준 패킷 필터링: IP 패킷을 기반으로 세부적인 필터링 규칙을 설정할 수 있습니다.
2. 집합 관리: ipset을 사용하여 많은 IP 주소나 네트워크를 효율적으로 관리할 수 있습니다.
3. 고성능: 적절하게 설정된 iptables 규칙은 매우 고성능의 패킷 필터링을 제공합니다.

장점

• 성능: 적은 리소스를 사용하여 높은 성능을 제공합니다.
• 유연성: 세부적인 규칙 설정이 가능하여 매우 유연합니다.
• 광범위한 사용: 다양한 Linux 환경에서 광범위하게 사용됩니다.

단점

• 관리의 복잡성: 많은 규칙을 관리할 때 복잡해질 수 있습니다.
• 동적 변경 어려움: 방화벽 규칙을 동적으로 변경할 때 네트워크 연결이 끊어질 수 있습니다.

firewalld와 iptables/ipset 비교 요약

특징	firewalld	iptables/ipset
관리 방식	존(zone) 기반 관리	개별 규칙과 집합(ipset) 관리
동적 관리	네트워크 연결 끊지 않고 규칙 변경 가능	규칙 변경 시 네트워크 연결 끊길 수 있음
유연성	네트워크 환경에 따른 유연한 설정 가능	세부적인 규칙 설정 가능
사용 편의성	직관적인 관리 도구 제공 (firewall-cmd)	명령어 기반 관리 (iptables, ipset)
성능	적절한 성능 제공, 더 많은 리소스 사용 가능	고성능, 적은 리소스 사용
복잡성	설정 초기 학습 곡선 있을 수 있음	많은 규칙 관리 시 복잡해질 수 있음
사용 사례	네트워크 존 설정, 동적 방화벽 관리 필요 시 적합	고성능 패킷 필터링, 세부 규칙 필요 시 적합

 

어떤 도구가 더 나은지에 대한 판단은 사용자의 환경과 요구 사항에 따라 다릅니다.

• firewalld는 직관적이고 동적 관리가 필요한 경우에 적합합니다. 예를 들어, 다양한 네트워크 존을 사용하고 네트워크 연결을 끊지 않고 규칙을 변경해야 하는 경우 유용합니다.
• iptables/ipset은 성능이 중요하고 세부적인 규칙 설정이 필요한 경우에 적합합니다. 예를 들어, 고성능 패킷 필터링이 필요하거나 많은 IP 주소를 효율적으로 관리해야 하는 경우 유용합니다.

두 도구 모두 장단점이 있으므로, 조직의 보안 요구 사항과 운영 환경에 따라 적절한 도구를 선택하는 것이 중요합니다. 서버군 영역/존을 구분하는 브릿지 방화벽에서 firewalld를 사용하는 것이 더 나을 수 있습니다. 그 이유는 다음과 같습니다.

Firewalld의 장점

1. 존 기반 관리: Firewalld는 네트워크 인터페이스를 기반으로 하는 존(zone) 개념을 도입하여, 서로 다른 네트워크 영역을 쉽게 구분하고 관리할 수 있습니다. 각 존은 서로 다른 방화벽 규칙을 가질 수 있어, 브릿지 방화벽에서 서버군을 구분하여 관리하기에 적합합니다.
2. 동적 관리: Firewalld는 네트워크 연결을 끊지 않고 방화벽 규칙을 동적으로 변경할 수 있습니다. 이는 서버군의 변경이나 네트워크 환경의 변화가 잦은 경우 매우 유용합니다.
3. 편리한 관리 도구: Firewalld는 firewall-cmd와 같은 명령어 도구를 제공하여 직관적이고 쉽게 방화벽을 설정하고 관리할 수 있습니다. 이를 통해 복잡한 네트워크 환경에서도 손쉽게 방화벽 규칙을 적용할 수 있습니다.
4. D-Bus 인터페이스: Firewalld는 D-Bus 인터페이스를 제공하여 다른 프로그램이나 스크립트에서 방화벽 설정을 쉽게 변경할 수 있습니다. 이는 자동화된 방화벽 관리 및 모니터링 시스템을 구축하는 데 유리합니다.

Firewalld 예제

서버군을 구분하여 브릿지 방화벽을 설정하는 간단한 예제를 살펴보겠습니다.

1. 기본 존 설정

    sudo firewall-cmd --set-default-zone=public

2. 인터페이스를 특정 존에 할당

    sudo firewall-cmd --zone=dmz --change-interface=eth0
    sudo firewall-cmd --zone=internal --change-interface=eth1

3. 존별 규칙 설정

    sudo firewall-cmd --zone=dmz --add-service=http
    sudo firewall-cmd --zone=dmz --add-service=https
    sudo firewall-cmd --zone=internal --add-service=ssh
    sudo firewall-cmd --zone=internal --add-masquerade

4. 영구적으로 규칙 적용

    sudo firewall-cmd --runtime-to-permanent

이 예제에서는 eth0 인터페이스를 DMZ 존에, eth1 인터페이스를 Internal 존에 할당하고, 각 존에 필요한 방화벽 규칙을 설정합니다.

iptables/ipset의 장점과 단점

장점

• 성능: 적은 리소스로 고성능의 패킷 필터링을 제공합니다.
• 세부적인 규칙 설정: 매우 세부적인 방화벽 규칙을 설정할 수 있어 복잡한 네트워크 환경에서도 유연하게 대응할 수 있습니다.
• 유연성: ipset을 사용하면 많은 IP 주소나 네트워크를 효율적으로 관리할 수 있습니다.

단점

• 복잡성: 많은 규칙을 관리할 때 설정이 복잡해질 수 있습니다.
• 동적 변경의 어려움: 규칙을 변경할 때 네트워크 연결이 끊길 수 있어 동적 환경에서는 불편할 수 있습니다.

iptables/ipset 예제

기본적인 iptables와 ipset을 사용한 방화벽 설정 예제는 다음과 같습니다.

1. ipset 집합 생성 및 IP 주소 추가

    sudo ipset create internal hash:ip
    sudo ipset add internal 192.168.1.0/24

2. iptables 규칙 설정

    sudo iptables -A FORWARD -m set --match-set internal src -j ACCEPT
    sudo iptables -A FORWARD -m set --match-set internal dst -j ACCEPT
    sudo iptables -A FORWARD -j DROP

이 예제에서는 내부 네트워크(192.168.1.0/24)를 ipset 집합으로 관리하고, 이 집합에 속한 IP 주소에 대해서만 패킷을 허용하며, 그 외에는 모두 차단합니다.

 

브릿지 방화벽에서 서버군 영역/존을 구분하여 관리할 때 firewalld가 더 나은 선택이 될 수 있습니다. firewalld는 존 기반 관리, 동적 규칙 변경, 직관적인 관리 도구 등의 장점을 제공하여 복잡한 네트워크 환경에서도 효율적으로 방화벽을 운영할 수 있게 해줍니다.

 

그러나, 성능이 매우 중요하거나 세부적인 규칙 설정이 필요한 경우 iptables와 ipset이 여전히 강력한 도구로 사용될 수 있습니다. 따라서, 구체적인 요구 사항과 환경에 따라 적절한 도구를 선택하는 것이 중요합니다. 또한, 동일한 서버군에 대해 동일한 룰셋으로 관리하는 것은 네트워크 보안 및 관리의 일관성을 유지하는 데 매우 중요합니다.

효과적인 동일 룰셋 관리 방법

1. 중앙 집중식 관리 시스템 사용

Ansible, Puppet, Chef

이러한 구성 관리 도구들은 중앙 집중식으로 서버 설정을 관리할 수 있으며, 방화벽 규칙도 포함됩니다. 예를 들어, Ansible을 사용하여 모든 서버에 동일한 iptables 규칙을 배포할 수 있습니다.

• Ansible 예제

    # firewall.yml
    ---
    - hosts: servers
      become: true
      tasks:
        - name: Set iptables rules
          iptables:
            chain: INPUT
            protocol: tcp
            source: 192.168.1.0/24
            jump: ACCEPT
        - name: Save iptables rules
          command: /sbin/iptables-save

2. firewalld 사용

firewalld는 zone 기반 설정을 통해 쉽게 관리할 수 있으며, 한 번 설정한 zone을 여러 서버에 적용할 수 있습니다.

• firewalld 설정

    sudo firewall-cmd --zone=internal --add-service=http --permanent
    sudo firewall-cmd --zone=internal --add-service=https --permanent
    sudo firewall-cmd --reload

3. iptables + ipset 사용

ipset을 사용하여 IP 주소 집합을 관리하고 iptables에서 이를 참조하는 방식으로 여러 서버에서 동일한 규칙을 적용할 수 있습니다.

• ipset 및 iptables 설정

    sudo ipset create internal hash:ip
    sudo ipset add internal 192.168.1.0/24
    sudo iptables -A INPUT -m set --match-set internal src -j ACCEPT
    sudo iptables-save > /etc/iptables/rules.v4

자동 동기화 방법

1. 구성 관리 도구 (Ansible, Puppet, Chef)

구성 관리 도구를 사용하면 서버 설정 파일을 중앙에서 관리하고 주기적으로 적용하여 동기화 상태를 유지할 수 있습니다.

• Ansible 플레이북을 주기적으로 실행
  • 크론 잡(Cron Job) 설정

      crontab -e
      # 매일 자정에 Ansible 플레이북 실행
      0 0 * * * ansible-playbook /path/to/playbook.yml

2. Git + CI/CD 파이프라인

Git을 사용하여 방화벽 설정 파일을 버전 관리하고, CI/CD 파이프라인을 통해 서버에 배포할 수 있습니다.

• Git 저장소에 방화벽 설정 파일 저장

    git init
    git add firewall.yml
    git commit -m "Add firewall settings"
    git remote add origin <repository-url>
    git push -u origin master

• CI/CD 파이프라인 설정
  • 예: GitLab CI/CD

      stages:
        - deploy
    
      deploy:
        stage: deploy
        script:
          - ansible-playbook /path/to/playbook.yml

3. 클러스터링 및 고가용성 솔루션

클러스터링 및 고가용성 솔루션을 사용하여 방화벽 설정을 자동으로 동기화할 수 있습니다. 예를 들어, Pacemaker와 같은 클러스터링 도구를 사용하여 방화벽 설정을 복제하고 관리할 수 있습니다.

• Pacemaker 설정

    sudo pcs cluster cib firewall-config
    sudo pcs -f firewall-config resource create Firewall ocf:heartbeat:IPtables op monitor interval=30s
    sudo pcs -f firewall-config resource clone Firewall
    sudo pcs cluster cib-push firewall-config

동일한 서버군에 대해 동일한 룰셋을 관리하는 데에는 중앙 집중식 관리 시스템이나 firewalld, iptables + ipset을 사용하는 것이 효과적입니다. 자동 동기화를 위해서는 Ansible, Puppet, Chef와 같은 구성 관리 도구, Git + CI/CD 파이프라인, 또는 클러스터링 및 고가용성 솔루션을 사용하는 것이 좋습니다. 이를 통해 일관된 보안 정책을 유지하고 관리의 효율성을 높일 수 있습니다.

 

도커(Docker)나 쿠버네티스(Kubernetes)와 같은 컨테이너 환경에서는 전통적인 네트워크 접근 통제 방식과 함께 컨테이너의 특성을 고려한 보안 방법을 적용하는 것이 중요합니다. 다음은 컨테이너 환경에서 접근 통제를 운영하는 주요 방법들입니다.

Docker 환경에서의 접근 통제

1. Docker 네트워크 설정

Docker는 기본적으로 여러 네트워크 드라이버를 제공합니다. 각 네트워크 드라이버는 고유한 기능과 보안 속성을 가지고 있습니다.

• 브리지 네트워크: 동일한 호스트에서 실행되는 컨테이너들을 서로 연결할 때 사용합니다.
• 호스트 네트워크: 컨테이너가 호스트의 네트워크 스택을 직접 사용합니다.
• 오버레이 네트워크: 여러 호스트에 걸쳐 컨테이너들을 연결할 때 사용합니다.
• 매킨 드라이버: 네트워크 격리가 필요하지 않을 때 사용합니다.

2. 네트워크 접근 제어

Docker 네트워크 설정을 통해 접근 통제를 구현할 수 있습니다. 예를 들어, 특정 네트워크에만 컨테이너를 연결하여 외부 접근을 제한할 수 있습니다.

# 새로운 네트워크 생성
docker network create --driver bridge isolated_network

# 컨테이너를 생성하면서 네트워크에 연결
docker run -d --name my_container --network isolated_network my_image

3. iptables 및 Docker 네트워크

Docker는 기본적으로 iptables 규칙을 설정하여 네트워크 트래픽을 제어합니다. 추가적인 iptables 규칙을 설정하여 접근 통제를 강화할 수 있습니다.

# Docker 네트워크 트래픽을 차단하는 iptables 규칙 예제
sudo iptables -I DOCKER-USER -s 192.168.1.0/24 -j DROP

Kubernetes 환경에서의 접근 통제

1. 네트워크 정책(Network Policies)

Kubernetes에서는 네트워크 정책을 사용하여 네트워크 트래픽을 제어할 수 있습니다. 네트워크 정책은 파드(Pod) 간의 트래픽을 제어하는 규칙을 정의합니다.

• 네트워크 정책 예제

    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
      name: allow-specific-traffic
      namespace: default
    spec:
      podSelector:
        matchLabels:
          role: db
      policyTypes:
      - Ingress
      - Egress
      ingress:
      - from:
        - ipBlock:
            cidr: 192.168.1.0/24
      egress:
      - to:
        - ipBlock:
            cidr: 10.0.0.0/24

2. 서비스 메쉬(Service Mesh)

서비스 메쉬는 컨테이너화된 애플리케이션의 네트워크 트래픽을 관리하고 보호하는 데 사용됩니다. 대표적인 서비스 메쉬로는 Istio, Linkerd, Consul 등이 있습니다.

• Istio 예제

    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: allow-httpbin
      namespace: default
    spec:
      selector:
        matchLabels:
          app: httpbin
      rules:
      - from:
        - source:
            namespaces: ["default"]

3. 네트워크 플러그인 (CNI 플러그인)

Kubernetes는 다양한 CNI(Container Network Interface) 플러그인을 지원하여 네트워크를 설정합니다. Calico, Flannel, Weave 등은 네트워크 정책을 지원하고, 세분화된 네트워크 접근 통제를 구현할 수 있습니다.

• Calico 네트워크 정책 예제

    apiVersion: projectcalico.org/v3
    kind: NetworkPolicy
    metadata:
      name: allow-ui
      namespace: default
    spec:
      selector: app == 'ui'
      ingress:
      - action: Allow
        source:
          selector: app == 'frontend'

자동화 및 동기화

CI/CD 파이프라인

CI/CD 파이프라인을 사용하여 컨테이너 이미지의 보안 스캔 및 네트워크 정책을 자동으로 배포할 수 있습니다. GitOps 방식을 사용하여 보안 정책의 변경 사항을 자동으로 적용할 수도 있습니다.

• Jenkins, GitLab CI/CD, ArgoCD 등을 사용한 파이프라인 설정

    stages:
      - build
      - deploy
  
    build:
      stage: build
      script:
        - docker build -t my_image .
        - docker push my_image
  
    deploy:
      stage: deploy
      script:
        - kubectl apply -f network-policy.yaml

중앙 집중식 모니터링 및 로깅

모니터링 및 로깅 시스템을 사용하여 네트워크 트래픽과 보안 이벤트를 중앙에서 모니터링하고, 이상 징후를 탐지할 수 있습니다. Prometheus, Grafana, ELK 스택 등이 사용될 수 있습니다.

• Prometheus와 Grafana를 사용한 모니터링 설정 예제

    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: prometheus-config
      namespace: monitoring
    data:
      prometheus.yml: |
        global:
          scrape_interval: 15s
        scrape_configs:
          - job_name: 'kubernetes-apiservers'
            kubernetes_sd_configs:
            - role: endpoints

컨테이너 환경에서 접근 통제를 효과적으로 운영하려면 Docker와 Kubernetes의 네트워크 기능을 활용하고, 네트워크 정책 및 서비스 메쉬를 적용하며, CI/CD 파이프라인과 중앙 집중식 모니터링 시스템을 통해 자동화 및 동기화를 구현하는 것이 중요합니다. 이를 통해 일관된 보안 정책을 유지하고, 효율적으로 네트워크 접근을 제어할 수 있습니다.

 

컨테이너 환경에서 접근 통제를 호스트 노드에서 하고자 하는 경우, iptables와 같은 전통적인 방화벽 도구를 사용할 수 있습니다. 이는 Docker나 Kubernetes와 독립적으로 호스트 레벨에서 네트워크 트래픽을 제어할 수 있는 유연성을 제공합니다. 여기서는 Docker와 Kubernetes 환경에서 호스트 노드에서 접근 통제를 구현하는 방법을 설명하겠습니다.

iptables를 이용한 호스트 레벨 접근 통제

1. Docker 환경에서의 iptables 설정

Docker는 기본적으로 iptables를 사용하여 네트워크 트래픽을 관리합니다. 이를 통해 호스트 노드에서의 접근 통제를 설정할 수 있습니다.

• 특정 IP 주소 차단 예제

    # 특정 IP 주소에서 오는 모든 트래픽 차단
    sudo iptables -A INPUT -s 192.168.1.100 -j DROP

• 특정 포트에 대한 접근 제어 예제

    # 8080 포트에 대한 외부 접근 차단
    sudo iptables -A INPUT -p tcp --dport 8080 -j DROP

• Docker 브리지 네트워크에 대한 접근 제어 예제

    # Docker 브리지 네트워크에 대한 외부 접근 차단
    sudo iptables -A FORWARD -o docker0 -j DROP
    sudo iptables -A FORWARD -i docker0 ! -o docker0 -j DROP

2. Kubernetes 환경에서의 iptables 설정

Kubernetes 환경에서도 호스트 레벨에서 iptables를 사용하여 네트워크 트래픽을 제어할 수 있습니다. 특히 노드 간의 트래픽이나 외부에서 오는 트래픽을 제어하는 데 유용합니다.

• 모든 인그레스 트래픽 차단 예제

    # 모든 인그레스 트래픽 차단
    sudo iptables -A INPUT -j DROP

• 특정 노드 간의 트래픽 허용 예제

    # 특정 노드의 IP 주소에서 오는 트래픽 허용
    sudo iptables -A INPUT -s 10.0.0.10 -j ACCEPT

• 노드에서 특정 포트에 대한 트래픽 허용 예제

    # 6443 포트(쿠버네티스 API 서버)에 대한 트래픽 허용
    sudo iptables -A INPUT -p tcp --dport 6443 -j ACCEPT

ufw(Uncomplicated Firewall)를 이용한 호스트 레벨 접근 통제

UFW는 iptables의 프론트엔드로, 더 쉽게 방화벽을 설정하고 관리할 수 있습니다.

• UFW 설치 및 활성화

    sudo apt-get install ufw
    sudo ufw enable

• 기본 정책 설정

    # 모든 인바운드 트래픽 차단
    sudo ufw default deny incoming
  
    # 모든 아웃바운드 트래픽 허용
    sudo ufw default allow outgoing

• 특정 포트에 대한 접근 허용

    # 22번 포트(SSH)에 대한 접근 허용
    sudo ufw allow 22
  
    # 6443 포트(쿠버네티스 API 서버)에 대한 접근 허용
    sudo ufw allow 6443

• 특정 IP 주소 차단

    # 특정 IP 주소에서 오는 모든 트래픽 차단
    sudo ufw deny from 192.168.1.100

ipsets와 iptables를 통한 효율적인 관리

많은 IP 주소나 네트워크를 관리해야 할 때 ipset을 사용하면 iptables 규칙을 간단하고 효율적으로 유지할 수 있습니다.

• ipset 설치 및 구성

    sudo apt-get install ipset
  
    # IP 집합 생성
    sudo ipset create blacklist hash:ip
  
    # IP 집합에 IP 주소 추가
    sudo ipset add blacklist 192.168.1.100
    sudo ipset add blacklist 192.168.1.101
  
    # iptables에서 ipset 참조
    sudo iptables -A INPUT -m set --match-set blacklist src -j DROP

자동화 및 관리 도구 사용

• Ansible을 이용한 방화벽 설정 자동화
  Ansible을 사용하면 여러 호스트 노드에 대해 방화벽 설정을 자동화할 수 있습니다.
  • Ansible 플레이북 예제

      ---
      - hosts: all
        become: true
        tasks:
          - name: 기본 정책 설정
            ufw:
              default: deny incoming
              direction: incoming
    
          - name: 아웃바운드 트래픽 허용
            ufw:
              default: allow outgoing
              direction: outgoing
    
          - name: 22번 포트(SSH) 허용
            ufw:
              rule: allow
              port: '22'
    
          - name: 6443 포트(쿠버네티스 API 서버) 허용
            ufw:
              rule: allow
              port: '6443'

호스트 노드에서 접근 통제를 구현하는 가장 좋은 방법은 iptables와 같은 전통적인 방화벽 도구를 사용하는 것입니다. UFW를 사용하면 iptables 설정을 더 쉽게 관리할 수 있습니다. 많은 IP 주소나 네트워크를 관리해야 할 때는 ipset을 활용할 수 있으며, Ansible과 같은 자동화 도구를 사용하여 여러 호스트에 일관된 방화벽 설정을 적용할 수 있습니다. 이를 통해 컨테이너 환경에서도 효과적으로 네트워크 접근 통제를 구현할 수 있습니다.

 

ipset 설정은 기본적으로 휘발성입니다. 시스템이 재부팅되면 ipset에 대한 설정은 사라지기 때문에 재부팅 시마다 다시 설정해줘야 합니다. 이를 위해 ipset 설정을 저장하고, 부팅 시 자동으로 복원하는 방법을 사용하는 것이 일반적입니다.

ipset 설정을 저장하고 복원하는 방법

1. ipset 설정 저장

ipset 설정을 파일로 저장하려면 ipset save 명령을 사용합니다.

sudo ipset save > /etc/ipset.conf

이 명령은 현재 ipset 구성을 /etc/ipset.conf 파일에 저장합니다.

2. 부팅 시 ipset 설정 복원

부팅 시 ipset 설정을 자동으로 복원하기 위해 몇 가지 방법을 사용할 수 있습니다.

방법 1: 시스템 초기화 스크립트 사용

/etc/rc.local 파일에 ipset 복원 명령을 추가하여 부팅 시 자동으로 설정을 복원할 수 있습니다.

1. /etc/rc.local 파일을 편집합니다.

    sudo nano /etc/rc.local

2. ipset 복원 명령을 추가합니다

    #!/bin/sh -e
    # ipset 설정 복원
    ipset restore < /etc/ipset.conf
    exit 0

3. /etc/rc.local 파일에 실행 권한을 부여합니다.

    sudo chmod +x /etc/rc.local

방법 2: systemd 유닛 파일 사용

systemd를 사용하여 부팅 시 ipset 설정을 복원하는 방법입니다.

1. systemd 서비스 파일을 생성합니다.

    sudo nano /etc/systemd/system/ipset-restore.service

2. 다음 내용을 추가합니다.

    [Unit]
    Description=Restore ipset rules
    After=network.target
   
    [Service]
    Type=oneshot
    ExecStart=/sbin/ipset restore < /etc/ipset.conf
    RemainAfterExit=yes
   
    [Install]
    WantedBy=multi-user.target

3. 서비스 파일을 저장하고 종료합니다.
4. systemd 서비스 파일을 활성화합니다.

    sudo systemctl enable ipset-restore.service
    sudo systemctl start ipset-restore.service

3. iptables와 함께 사용

부팅 시 iptables 설정과 함께 ipset 설정을 복원하는 것도 가능합니다.

1. /etc/network/if-pre-up.d 디렉토리에 스크립트를 생성합니다.

    sudo nano /etc/network/if-pre-up.d/ipset-restore

2. 다음 내용을 추가합니다.

    #!/bin/sh
    /sbin/ipset restore < /etc/ipset.conf

3. 스크립트에 실행 권한을 부여합니다.

    sudo chmod +x /etc/network/if-pre-up.d/ipset-restore

ipset 설정은 기본적으로 휘발성입니다. 시스템이 재부팅될 때 설정을 유지하려면 ipset 설정을 파일로 저장하고, 부팅 시 해당 설정을 자동으로 복원하도록 설정해야 합니다. 이를 위해 rc.local, systemd 서비스 파일, 또는 네트워크 인터페이스 초기화 스크립트를 사용할 수 있습니다. 이렇게 하면 재부팅 후에도 ipset 설정이 자동으로 적용되어 유지됩니다.

 

ipset save와 ipset restore 명령어는 오직 ipset 설정만을 저장하고 복원합니다. iptables 규칙은 별도로 저장하고 복원해야 합니다. iptables와 ipset 설정을 함께 관리하려면 각각의 설정을 따로 저장하고, 부팅 시 함께 복원하는 방법을 사용해야 합니다.

iptables 및 ipset 설정을 함께 저장하고 복원하는 방법

1. ipset 설정 저장

sudo ipset save > /etc/ipset.conf

2. iptables 설정 저장

sudo iptables-save > /etc/iptables/rules.v4

3. 부팅 시 ipset 및 iptables 설정 복원

두 설정을 함께 복원하려면 스크립트나 systemd 유닛 파일을 사용하여 부팅 시 자동으로 적용할 수 있습니다.

방법 1: 시스템 초기화 스크립트 사용

1. /etc/rc.local 파일을 편집합니다.

    sudo nano /etc/rc.local

2. ipset 및 iptables 복원 명령을 추가합니다.

    #!/bin/sh -e
    # ipset 설정 복원
    ipset restore < /etc/ipset.conf
    # iptables 설정 복원
    iptables-restore < /etc/iptables/rules.v4
    exit 0

3. /etc/rc.local 파일에 실행 권한을 부여합니다.

    sudo chmod +x /etc/rc.local

방법 2: systemd 유닛 파일 사용

1. systemd 서비스 파일을 생성합니다.

    sudo nano /etc/systemd/system/iptables-ipset-restore.service

2. 다음 내용을 추가합니다.

    [Unit]
    Description=Restore iptables and ipset rules
    After=network.target
   
    [Service]
    Type=oneshot
    ExecStart=/sbin/ipset restore < /etc/ipset.conf
    ExecStart=/sbin/iptables-restore < /etc/iptables/rules.v4
    RemainAfterExit=yes
   
    [Install]
    WantedBy=multi-user.target

3. 서비스 파일을 저장하고 종료합니다.
4. systemd 서비스 파일을 활성화합니다.

    sudo systemctl enable iptables-ipset-restore.service
    sudo systemctl start iptables-ipset-restore.service

4. 네트워크 인터페이스 초기화 스크립트 사용

1. /etc/network/if-pre-up.d 디렉토리에 스크립트를 생성합니다.

    sudo nano /etc/network/if-pre-up.d/iptables-ipset-restore

2. 다음 내용을 추가합니다.

    #!/bin/sh
    /sbin/ipset restore < /etc/ipset.conf
    /sbin/iptables-restore < /etc/iptables/rules.v4

3. 스크립트에 실행 권한을 부여합니다.

    sudo chmod +x /etc/network/if-pre-up.d/iptables-ipset-restore

ipset save와 ipset restore는 ipset 설정만을 저장하고 복원합니다. iptables 규칙은 iptables-save와 iptables-restore 명령어를 사용하여 별도로 저장하고 복원해야 합니다. ipset과 iptables 설정을 함께 관리하려면 각 설정을 저장한 후 부팅 시 자동으로 복원하는 스크립트나 systemd 유닛 파일을 설정하여 두 설정이 동시에 복원되도록 해야 합니다.