"naver.how/f" 검색 서비스의 data lake by AI

iptables에서 FTP 다중 파일 전송 문제 해결하기

Written by

speedpointer

in

리눅스 서버를 운영하다 보면 방화벽 설정과 관련된 여러 문제에 부딪히게 됩니다. 특히 FTP 서비스는 동시에 여러 파일을 전송하는 과정에서 iptables 정책으로 인해 제한을 받는 경우가 빈번합니다. 오늘은 FTP 서버에서 다중 파일 전송이 차단되는 문제의 원인과 해결책에 대해 심층적으로 알아보겠습니다.

FTP 프로토콜의 특성과 방화벽 문제

FTP(File Transfer Protocol)는 클라이언트-서버 아키텍처를 기반으로 하는 표준 네트워크 프로토콜로, 두 가지 주요 모드로 작동합니다.

  1. 액티브 모드(Active Mode): 클라이언트가 서버에 연결을 시작하고, 서버가 클라이언트의 데이터 포트로 다시 연결합니다.
  2. 패시브 모드(Passive Mode): 클라이언트가 모든 연결을 시작합니다.

FTP는 두 개의 채널을 사용합니다:

  • 제어 채널(포트 21): 명령어 전송
  • 데이터 채널(액티브 모드: 포트 20, 패시브 모드: 임의의 포트): 실제 데이터 전송

이러한 FTP의 복잡한 연결 방식은 방화벽 환경에서 문제를 일으키기 쉽습니다. 특히 동시에 여러 파일을 전송하면 다수의 연결이 생성되어 iptables의 연결 제한 정책과 충돌할 수 있습니다.

주요 문제점 진단

FTP 다중 파일 전송 문제의 주요 원인은 다음과 같습니다:

1. 연결 추적 모듈 부재

Linux 커널의 conntrack(Connection Tracking) 모듈은 FTP 프로토콜의 동작을 이해하고 관련 연결을 추적합니다. nf_conntrack_ftp 모듈이 로드되지 않으면 방화벽은 FTP 데이터 연결을 제어 연결과 관련짓지 못하여 차단합니다.

# 모듈 로드 상태 확인
lsmod | grep nf_conntrack_ftp

2. IP당 연결 수 제한

iptables의 connlimit 모듈은 단일 IP 주소에서 생성할 수 있는 연결 수를 제한합니다. FTP 클라이언트가 여러 파일을 동시에 전송하려고 할 때, 이 제한에 도달하면 추가 연결이 차단됩니다.

# 제한 규칙 예시
REJECT 6 -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8107 state NEW,ESTABLISHED #conn src/32 > 24 reject-with tcp-reset

3. 패시브 포트 범위 미설정

패시브 FTP는 데이터 전송을 위해 임의의 높은 번호 포트를 사용합니다. 이 포트 범위가 방화벽에서 명시적으로 허용되지 않으면 데이터 채널이 차단되어 파일 전송이 실패합니다.

종합적인 해결 방안

위의 문제들을 해결하기 위한 포괄적인 접근 방식을 살펴보겠습니다.

1. 연결 추적 모듈 활성화

FTP 연결 추적을 위한 커널 모듈을 로드하고 영구적으로 설정합니다:

# 모듈 로드
sudo modprobe nf_conntrack_ftp
sudo modprobe nf_nat_ftp

# 시스템 시작 시 자동 로드 설정
echo "nf_conntrack_ftp" | sudo tee -a /etc/modules
echo "nf_nat_ftp" | sudo tee -a /etc/modules

2. 연결 추적 테이블 최적화

연결 추적 테이블의 크기와 타임아웃 값을 조정하여 많은 연결을 처리할 수 있도록 합니다:

# 연결 추적 테이블 크기 확장
sudo sysctl -w net.netfilter.nf_conntrack_max=65536

# 연결 상태별 타임아웃 최적화
sudo sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=7200
sudo sysctl -w net.netfilter.nf_conntrack_tcp_timeout_close_wait=60

# 영구 설정
echo "net.netfilter.nf_conntrack_max=65536" | sudo tee -a /etc/sysctl.conf
echo "net.netfilter.nf_conntrack_tcp_timeout_established=7200" | sudo tee -a /etc/sysctl.conf
echo "net.netfilter.nf_conntrack_tcp_timeout_close_wait=60" | sudo tee -a /etc/sysctl.conf

3. FTP 패시브 포트 범위 설정

FTP 서버 설정에서 패시브 포트 범위를 지정하고, 해당 범위를 방화벽에서 허용합니다:

# vsftpd 설정 예시
sudo nano /etc/vsftpd.conf

# 다음 내용 추가 또는 수정
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=31000
max_clients=50
max_per_ip=15

# 방화벽 규칙 추가 (iptables 직접 사용 시)
sudo iptables -A INPUT -p tcp --match multiport --dports 20,21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT

# UFW 사용 시
sudo ufw allow 21/tcp
sudo ufw allow 20/tcp
sudo ufw allow proto tcp from any to any port 30000:31000

4. IP당 연결 제한 조정

단일 IP 주소에서 생성할 수 있는 동시 연결 수를 늘립니다:

# 기존 제한 규칙 확인
sudo iptables -L INPUT -n --line-numbers | grep 21

# 새 규칙 추가 또는 기존 규칙 수정 (IP당 15개 연결 허용)
sudo iptables -I INPUT -p tcp --dport 21 -m connlimit --connlimit-above 15 -j REJECT

5. 변경사항 적용 및 테스트

설정 변경 후 서비스를 재시작하고 변경사항을 저장합니다:

# FTP 서버 재시작
sudo service vsftpd restart

# iptables 규칙 저장 (배포판에 따라 다름)
sudo service iptables save
# 또는
sudo iptables-save > /etc/iptables/rules.v4

고급 구성: FTP 성능 최적화

FTP 서버의 성능을 최적화하고 더 많은 동시 연결을 처리하기 위한 추가 설정을 살펴보겠습니다.

시스템 리소스 제한 조정

# /etc/security/limits.conf 편집
sudo nano /etc/security/limits.conf

# 다음 줄 추가
* soft nofile 8192
* hard nofile 65536

TCP 네트워크 스택 최적화

# /etc/sysctl.conf 편집
sudo nano /etc/sysctl.conf

# 다음 설정 추가
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_tw_reuse = 1

FTP 서버 튜닝 (vsftpd 예시)

# /etc/vsftpd.conf 추가 설정
idle_session_timeout=600
data_connection_timeout=120
ftpd_banner=Welcome to Optimized FTP Server
tcp_wrappers=YES

문제 해결 및 디버깅 기법

FTP 연결 문제가 계속되는 경우 다음과 같은 방법으로 디버깅할 수 있습니다.

연결 추적 테이블 확인

# 연결 추적 테이블 내용 보기
sudo cat /proc/net/nf_conntrack | grep ftp

# 모듈이 로드되지 않은 경우
sudo modprobe nf_conntrack
sudo cat /proc/net/nf_conntrack | grep ftp

네트워크 연결 모니터링

# 활성 FTP 연결 확인
sudo netstat -an | grep 21
sudo ss -an | grep 21

# 패킷 캡처
sudo tcpdump -n -i eth0 port 21 or port 20

로그 분석

# FTP 서버 로그 확인
sudo tail -f /var/log/vsftpd.log

# 방화벽 로그 확인
sudo tail -f /var/log/ufw.log
sudo dmesg | grep FTP

결론

FTP 서비스에서 다중 파일 전송 문제는 주로 Linux 방화벽 설정과 FTP 프로토콜의 특성 사이의 충돌에서 발생합니다. 이 문제를 효과적으로 해결하기 위해서는 커널 모듈 활성화, 연결 추적 최적화, 포트 범위 설정, 연결 제한 조정 등의 종합적인 접근이 필요합니다.

적절한 설정과 최적화를 통해 FTP 서버는 안정적으로 다중 파일 전송을 처리할 수 있으며, 사용자에게 원활한 파일 전송 경험을 제공할 수 있습니다. 특히 대용량 파일을 자주 주고받는 환경에서는 이러한 최적화가 서버 성능과 사용자 경험에 큰 영향을 미칩니다.

마지막으로, FTP 프로토콜은 오래된 기술이라는 점을 고려할 때, 보안이 중요한 환경에서는 SFTP나 FTPS와 같은 암호화된 대안을 고려하는 것도 좋은 방법입니다. 이러한 프로토콜들은 데이터 전송 과정에서 추가적인 보안 계층을 제공하며, 일부 방화벽 관련 문제를 완화할 수 있습니다.

Comments

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

More posts