정책조건 - DMZ 웹서버가 살아 있는지 확인하기 위해 ping을 사용할 수 있도록 해야한다. - 다만 규칙 구현 시 상태기반 룰을 이용하여 작성한다. 설정 - 상태추적 명령문 대신 괄호문을 사용해도 된다. # iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT (최상단) # iptables -A FORWARD -p icmp --icmp-type echo-request -i eth1 -o eth2 -d 192.168.200.200 -j ACCEPT (iptables -A FORWARD -p icmp --icmp-type echo-reply -o eth1 -i eth2 -s 192.168.200.200 -j ACCEPT) # i..
⭐ iptables 백업 및 복구 ⭐ - iptables 내에서는 백업과 복구를 할 수 있는 기능을 지원한다. 백업 - iptables-save iptables-save > iptables.bak : 저장되어 있는 iptables 적용에 관한 명령어를 백업함 복구 - iptables-restore > iptables -F, iptables -L nat -F, iptables -L : iptables 설정 초기화 확인 iptables-restore < iptables.bak : iptables 백업파일 수정없이 그대로 복구함
iptables - NAT NAT : 사설 IP를 공인 IP로 바꾸어줌 SNAT : S.IP를 변환함 SNAT == Normal NAT DNAT : D.IP를 변환함 DNAT == Reverse NAT 해당 체인 위치에 주로 POSTROUTING, PREROUTING 를 사용 POSTROUTING 사용시 입력 인터페이스(-i) 명시가 불가능함 PREROUTING 는 -o 명시 불가능 Normal NAT (SNAT) # iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.200 -j SNAT --to 공인IP주소 # iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.200 -j MASQUERADE //방화벽이 사용하..
-m : 모듈 사용 conntrack : 세션 감시 모듈 --ctstate (NEW, ESTABLISHED, RELATED, INVALID, UNTRACKED) NEW : 이전에 없던 패킷의 새로운 첫 연결 요청이 들어오는 패킷 ESTABLISHED : NEW상태를 거친 이후의 패킷 / 새로운 연결 요청에 관한 그 후의 패킷들이 오고가는 상태 RELATED : 새로운 연결 요청이지만, 기존의 연결과 관련된 패킷 INVALID : 이전 상태 중 어떤 것도 적용되지 않는 패킷 limit : 시간당 패킷의 흐름(갯수) 제한 string : 문자열 필터링 iptables - 상태추적 (packet filtering, stateful insepection) 정책조건 - 비정상적인 패킷은 로그를 남긴 후 패킷을 D..
정책조건 - 방화벽 관리자 PC(192.168.100.200)에서만 방화벽에 SSH 연결을 허용한다. - 또한 접속 내역을 기록한다. 설정 # iptables -A INPUT -p tcp --dport 22 -i eth1 -s 192.168.100.200 -j LOG # iptables -A INPUT -p tcp --dport 22 -i eth1 -s 192.168.100.200 -j ACCEPT # iptables -A OUTPUT -p tcp --sport 22 -o eth1 -d 192.168.100.200 -j ACCEPT 정책설정 확인 - 로그를 확인해보면 ethernet, SRC, DST 등등의 정보가 남아있다. 정책조건 - 방화벽 관리자 PC(192.168.100.200)에서만 방화벽에 S..
iptables Target ACCEPT DROP LOG : syslog에 관련 내용 기록 REJECT : 패킷을 버리고, 적절한 응답 패킷 전송 TCP 연결의 경우 TCP 재설정 패킷 전송 UDP 패킷의 경우 Port Unreachable 메시지 전송 타겟 로그 옵션 --log-prefix : 로그 말머리에 문자열 추가 --log-level --log-ip-options --log-tcp-options 로그 확인 journalctl : systemd의 서비스 로그 확인 -f : 가장 최근 Log만 표시하고 새롭게 추가되는 Log는 계속 출력 = 실시간(페도라 커널) 로그 확인 /var/log/messages 파일로도 확인 가능 tail -f /var/log/messages : 실시간 로그 확인 tail..
정책조건 - OfficePC에서 방화벽에 ssh 연결이 가능하게 한다. 설정 # iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT # iptables -A OUTPUT -o eth1 -p tcp --sport 22 -j ACCEPT 정책조건 - 내부네트워크 또는 DMZ에서 방화벽 ssh 연결이 가능하게한다. (eht1과 eth2에서 연결허용) 설정 # iptables -A INPUT -i eth2 -p tcp --dport 22 -j ACCEPT # iptables -A OUTPUT -o eth2 -p tcp --sport 22 -j ACCEPT 정책조건 - OfficePC 또는 DMZ 영역(외부영역)이 아닌곳에서 방화벽d에 ssh연결을 가능하게한다.(eth..
정책조건 - 기본정책은 차단, 그중 방화벽이 살아있는지 확인하기 위해 office pc에서 ping으로 연결 확인하는 작업을 허용하라. 설정 - 기본정책은 init_DROP.sh로 설정했음(INPUT, OUTPUT, FORWARD 정책 모두 DROP하는 스크립트 파일) # 만약 명령어로 DROP을 한다면 아래와 같다. # iptables -P INPUT DROP # iptables -P OUTPUT DROP # iptables -P FORWARD DROP - 아래 명령어를 사용하여 오고가는 icmp 패킷을 모두 허용했다. # iptables -A INPUT -p icmp -j ACCEPT # iptables -A OUTPUT -p icmp -j ACCEPT 정책조건 - 앞의 정책에 ssh 연결도 가능하게..
iptables - 명령어 : iptables [Table] [Command] [Chain] [Rule] [Target] Chain - INPUT : 커널 내부에서 라우팅 계산을 마친 후 로컬 소켓이 목적지인 패킷 - OUTPUT : 리눅스 시스템 자체가 생성하는 패킷 - FORWARD : 리눅스 시스템을 통과하는 패킷 Match -> 정책 설정 조건 - --source (-s) : 출발지 IP - --destination (-d) : 목적지 IP - --protocol (-p) : 특정 프로토콜 - --sport : 출발지 포트 - --dport : 목적지 포트 - --in-interface (-i) : 입력 인터페이스명 - --out-interface (-o) : 출력 인터페이스명 - --state ..
