115.68.226.218
OS : CentOS 6.8
iptables Version : iptables v1.4.7
iptables 에 대한 기본적인 이해도는 있다는 가정하에 적습니다.
여기서는 iwinv 이미지 기본설정 iptables Rule 을 그대로 유지하는 선에서...
Packet Counting 용 체인 설정
물론....기존 input 체인에도 넣어도 되지만...관리상 보기편하게...
시스템 요구사항
1. 리눅스 기반 OS
2. iptables quota 모듈
※ bytes 로만 제어가능
quota
Implements network quotas by decrementing a byte counter with each packet.
--quota bytes
The quota in bytes.
트래픽 정책 확인
1. 일 10g
2. idc 내 트래픽 무료
본문에서는 보안상 아이피 정보를 알려드리지는 않지만 여기저기 기웃거리면...정보쯤이야 손쉽게 찾을수 있다. 참고 URL 정도만.....
3. 내부 (사설) 트래픽 무료
4. 모든 트래픽? 아니면....특정 서비스만?
5. 추가팁) 여기에....DROP 패킷이 쌓이게 되면...sendmail 로 오게 한다더니..
유의사항
1. Packet 카운팅은 모든 룰에 최우선
2. 리부팅 및 iptables 재시작을 하게되면...패킷카운트는 초기화
3. 주기적으로 카운팅 저장
4. 재시작시 최근 저장된 카운팅으로 restore
5. 일단위 정책 반영할지...월단위 정책을 반영할지???
즉, 일 / 10G
월 / 300G
CRON 결합
6. 모든 작업시에는 카운팅 zero 상태에서...
모듈 체크
# modprobe ipt_quota
# lsmod |grep quota
xt_quota 1439 0
iptables Control
# iptables -N TRAFFIC_QUOTA
# iptables -I INPUT -j TRAFFIC_QUOTA
단위계산
1 GBYTE = 1073741824 BYTE
:: 1024*1024*1024 = 1073741824
300 GBYTE = 322122547200 BYTE
# iptables -A TRAFFIC_QUOTA -m quota --quota 1073741824 -j RETURN
# iptables -A TRAFFIC_QUOTA -j DROP
# iptables -vxnL
:: --quota 수치가 들어오는 bytes 숫자만큼...감소하고 있다.
# iptables -Z
Cron 변합예제
iptales 시작 스크립트 확인해서 저장위치 체크
IPTABLES=iptables
IPTABLES_DATA=/etc/sysconfig/$IPTABLES
자...이걸로 끝이다.
테스트해본다....위에서는 1G로 설정하였기에...저정도 트래픽이 누적되려면....동영상 정도는 올려줘야 될까?
quota 수치를 낮게 줘도 되지만... 여기서는 저설정 그대로 유지한채로 테스트를 진행한다.
굳이 아까운 트래픽 소진할필요 없다...
카운팅을 조작(?)해서 근사치에 가까이 변경후에 restore 해보면 된다.
# iptables-save -c > /etc/sysconfig/iptables
# vim /etc/sysconfig/iptables
# iptables-restore -c < /etc/sysconfig/iptables
# iptables -vnL
이제는...iwinv 트래픽 정책을 반영한다.
내부 사설 라우터를 통해 통신되는 트래픽은 무료... (사설아이피)
iwinv (스마일서브) 내에서 통신되는 트래픽 또한 무료... (공인아이피)
# iptables -I TRAFFIC_QUOTA -s 172.16.0.0/16 -j RETURN
# iptables -I 2 TRAFFIC_QUOTA -s 115.68.0.0/16 -j RETURN
# iptables -I 3 TRAFFIC_QUOTA -s 48.XXXXX/16 -j RETURN
개념만 이해하고있다면 여러방면으로 활용가능하다.
