728x90
반응형
정책조건
- 방화벽 관리자 PC(192.168.100.200)에서만 방화벽에 SSH 연결을 허용한다.
- 또한 접속 내역을 기록한다.
설정
# iptables -A INPUT -p tcp --dport 22 -i eth1 -s 192.168.100.200 -j LOG
# iptables -A INPUT -p tcp --dport 22 -i eth1 -s 192.168.100.200 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -o eth1 -d 192.168.100.200 -j ACCEPT정책설정 확인
- 로그를 확인해보면 ethernet, SRC, DST 등등의 정보가 남아있다.
정책조건
- 방화벽 관리자 PC(192.168.100.200)에서만 방화벽에 SSH 연결을 허용한다.
- 이외 PC에서의 SSH 연결을 나머지는 차단하되 그 내역을 기록한다. (== 기본 정책에 의해 차단된 로그 기록)
- 또한 기록시 각 로그 말머리에 [KIT_LOG] 문자열을 추가한다.
설정
# iptables -A INPUT -p tcp --dport 22 -i eth1 -s 192.168.100.200 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -i eth1 ! -s 192.168.100.200 -j LOG --log-prefix "[KIT_LOG]"
> iptables -A 체인명 -j LOG --log-prefix "기본정책에의한차단"
# iptables -A OUTPUT -p tcp --sport 22 -o eth1 -d 192.168.100.200 -j ACCEPT위 정책 응용
- 로그에 IP 패킷내용중 Options의 내용을 포함한다.
# iptables -A INPUT -p tcp --dport 22 -i eth1 -s 192.168.100.200 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -i eth1 ! -s 192.168.100.200 -j LOG --log-prefix "[KIT_LOG]" --log-ip-options
# iptables -A OUTPUT -p tcp --sport 22 -o eth1 -d 192.168.100.200 -j ACCEPT
정책조건
- 방화벽 관리를 보다 손쉽게 하게 하기 위해 원격제어(ssh)를 허용한다.
- 다만 방화벽 관리자(192.168.100.200)는 telnet으로도 연결 가능하게 한다.
- 하지만 telnet은 취약한 프로토콜이므로 telnet 접속 시 로그를 기록한다.
- 뒤에 명시된 규칙과 동일한 세션의 패킷은 허용한다. (세션기록 및 유지)
설정
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp --dport 23 -i eth1 -s 192.168.100.200 -j LOG
# iptables -A INPUT -p tcp --dport 23 -i eth1 -s 192.168.100.200 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 23 -o eth1 -d 192.168.100.200 -j ACCEPT위 정책 응용
- 위 정책에 ping을 허용한다.
# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
728x90
반응형