728x90
반응형
정책조건
- DMZ 웹서버가 살아 있는지 확인하기 위해 ping을 사용할 수 있도록 해야한다.
- 다만 규칙 구현 시 상태기반 룰을 이용하여 작성한다.
설정
- 상태추적 명령문 대신 괄호문을 사용해도 된다.
# iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT (최상단)
# iptables -A FORWARD -p icmp --icmp-type echo-request -i eth1 -o eth2 -d 192.168.200.200 -j ACCEPT
(iptables -A FORWARD -p icmp --icmp-type echo-reply -o eth1 -i eth2 -s 192.168.200.200 -j ACCEPT)
# iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT (최상단)
# iptables -A OUTPUT-p icmp --icmp-type echo-request -o eth2 -d 192.168.200.200 -j ACCEPT
(iptables -A INPUT -p icmp --icmp-type echo-reply -i eth2 -s 192.168.200.200 -j ACCEPT)
정책조건
- 방화벽을 대상으로 통일 호스트에서 분당 50개 이상 초과하여 보내는 ICMP 패킷들을 차단한다.
설정
# iptables -A INPUT -p icmp -m limit --limit 50/m -j ACCEPT
# iptables -A INPUT -p icmp -j DROP
정책조건
- 방화벽에는 tcp 7777번 포트로 동작하는 서버데몬이 있다.
- 이 서버데몬과 통신하는 것을 허용하되 메세지 중 exploit 코드 0xab0xcd0xef가 포함되어 있는 패킷들을 차단하고 이를 기록한다.
설정
# iptables -A INPUT -p tcp --dport 7777 -m string --hex-string "|abcdef|" --algo bm -j LOG
# iptables -A INPUT -p tcp --dport 7777 -m string --hex-string "|abcdef|" --algo bm -j DROP
# iptables -A INPUT -p tcp --dport 7777 -j ACCEPT
//iptables -A INPUT -p tcp --dport 7777 -m string --string "0xab0xcd0xef" --algo bm -j LOG
//iptables -A INPUT -p tcp --dport 7777 -m string --string "0xab0xcd0xef" --algo bm -j DROP
# iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
728x90
반응형