728x90
반응형
정책조건
- 기본정책은 차단, 그중 방화벽이 살아있는지 확인하기 위해 office pc에서 ping으로 연결 확인하는 작업을 허용하라.
설정
- 기본정책은 init_DROP.sh로 설정했음(INPUT, OUTPUT, FORWARD 정책 모두 DROP하는 스크립트 파일)
# 만약 명령어로 DROP을 한다면 아래와 같다.
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP- 아래 명령어를 사용하여 오고가는 icmp 패킷을 모두 허용했다.
# iptables -A INPUT -p icmp -j ACCEPT
# iptables -A OUTPUT -p icmp -j ACCEPT
정책조건
- 앞의 정책에 ssh 연결도 가능하게 하라.
설정
- 아래 명령어를 사용하여 오고가는 tcp 패킷을 모두 허용했다. (ssh는 tcp 프로토콜을 사용함)
# iptables -A INPUT -p tcp -j ACCEPT
# iptables -A OUTPUT -p tcp -j ACCEPT
정책조건
- 앞의 정책에 Office PC에서 Web Server로 ping이 가능하고, ssh 연결이 가능하게한다. 나머지는 모두 차단한다.
설정
- 아래 명령어를 사용하여 Office PC와 Web Server간 icmp, tcp 프로토콜 연결이 오고가는 것을 허용했다.
# iptables -A FORWARD -p icmp -j ACCEPT
# iptables -A FORWARD -p tcp -j ACCEPT위 정책의 문제점
- 다른 TCP 서비스도 허용된다.
# iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
# iptables -A FORWARD -p tcp --sport 22 -j ACCEPT- 출발지, 목적지가 정해져있지 않다. (== 방향에 대한 지정이 되어있지 않다.)
# iptables -A FORWARD -p tcp --dport 22 -i eth1 -o eth2 -j ACCEPT
# iptables -A FORWARD -p tcp --dport 22 -i eth2 -o eth1 -j ACCEPT
정책조건
- Office PC와 Web Server간 ping을 주고받을 수 있게 한다.
- 인터페이스, 송수신자, 프로토콜에 대해 모두 제한한다.
설정
- 아래 명령어를 사용하여 Office PC와 Web Server간 icmp, tcp 프로토콜 연결이 오고가는 것을 허용했다.
# iptables -A FORWARD -p icmp -o eth1 -i eth2 -d 192.168.100.200 -s 192.168.200.200 -j ACCEPT
# iptables -A FORWARD -p icmp -o eth2 -i eth1 -s 192.168.100.200 -d 192.168.200.200 -j ACCEPT
728x90
반응형