Skip to content

조회 수 10462 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

kernel 버전: linux-2.6.18.4

OS 버전: CentOS 4.4

 

- geoip설치 시 필요한 파일 목록 입니다.

 

tar xvfj linux-2.6.16.27.tar.bz2

tar xvfj iptables-1.3.5.tar.bz2

tar xvfz iproute2-2.6.16-060323.tar.gz

tar xvfj patch-o-matic-ng-20060626.tar.bz2

tar xvfj patch-o-matic-ng-20060511.tar.bz2

tar xvfz esfq-2.6.15.1.tar.gz

tar xvfz netfilter-layer7-v2.2.tar.gz

 

-  linux커널소스 및 iptable 소스를 /usr/src에 압축을 풀로 linux 및 iptables로 각각 심볼릭링크를 걸어줍니다.

 

[root@localhost ~]# ln -s /usr/src/linux-2.6.16.27 /usr/src/linux

[root@localhost ~]# ln -s /usr/src/iptables-1.3.5 /usr/src/iptables

 

- iptables소스 및 커널소스를 geoip설치 시 제대로 적용할 수 있도록 패치를 합니다.

[root@localhost ~]# patch -p1 < ../netfilter-layer7-v2.2/kernel-2.6.13-2.6.16-layer7-2.2.patch

 

[root@localhost ~]# cd /usr/src/iptables

[root@localhost ~]# patch -p1 < ../netfilter-layer7-v2.2/iptables-layer7-2.2.patch

[root@localhost ~]# chmod +x extensions/.layer7-test

 

[root@localhost ~]# cd /usr/src/iproute2-2.6.16-060323

[root@localhost ~]# patch -p1 < ../esfq-2.6.15.1/esfq-iproute2.patch

 

[root@localhost ~]# cd /usr/src/linux

[root@localhost ~]# patch -p1 < ../esfq-2.6.15.1/esfq-kernel.patch

 

[root@localhost ~]# cd /usr/src/patch-o-matic-ng-20060511

[root@localhost ~]# patch -p1 < ../patch-geoip.patch

 

[root@localhost ~]# cd /usr/src/patch-o-matic-ng-20060626

[root@localhost ~]# patch -p1 < ../patch-connlimit.patch

 

[root@localhost ~]# /usr/src/patch-o-matic-ng-20060511

[root@localhost ~]# ./runme geoip nth

 

[root@localhost ~]# cd /usr/src/patch-o-matic-ng-20060626

[root@localhost ~]# ./runme time u32 connlimit ipp2p IPMARK ROUTE TARPIT

 

[root@localhost ~]# ./runme extra

 

만일 실행 중 아래와 같이 메시지가 발생하였을 경우

Do you want to apply this patch [N/y/t/f/a/r/b/w/q/?] y

unable to find ladd slot in src /tmp/pom-8915/net/ipv4/netfilter/Makefile (./patchlets/geoip/linux-2.6/./net/ipv4/netfilter/Makefile.ladd)

 

patch-o-matic-ng 의 Makefile내용을 kernel netfilter Makefile에 추가시켜 줍니다.

[root@localhost ~]# cat /usr/src/patch-o-matic-ng-20060511/patchlets/geoip/linux-2.6/net/ipv4/netfilter/Makefile.ladd >> /usr/src/linux/net/ipv4/netfilter/Makefile

 

[root@localhost ~]# cd /usr/src/linux

[root@localhost ~]# make menuconfig

 

Networking --->

[*] Networking support

Networking options --->

[*] Network packet filtering (replaces ipchains) --->

V t?chto podsekc?ch za?krt?me, co se d?:

Core Netfilter Configuration --->

IP: Netfilter Configuration --->

(M)geoip match support

 

iptables 및 kenel 및 iproute 소스를 컴파일 합니다.

 

[root@localhost ~]# cd /usr/src/iproute2-2.6.16-060323

[root@localhost ~]# make

[root@localhost ~]# make install

 

[root@localhost ~]# cd /usr/src/iptables

[root@localhost ~]# make

[root@localhost ~]# make install

 

[root@localhost ~]# cd /usr/src/linux

[root@localhost ~]# make bzImage

[root@localhost ~]# make modules

[root@localhost ~]# make modules_install

[root@localhost ~]# make install

 

커널컴파일을 완료된 후 컴파일한 버전의 커널로 부팅하면 이제 iptables의 geoip를 사용할

준비가 되었습니다.

사용가능한 옵션은 --src-cc와 --dst-cc이 있는데,각각 뒤에 국가코드명이 들어가면 됩니다. 예를 들면,

# 일본과 미국에서의 웹 접속을 차단하고 다른 곳에서의 접속은 허용하고자 할 때

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m geoip --src-cc JP,US -j DROP

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 한국에서의 ftp만 허용하고 나머지 국가에서의 접속은 차단하고자 할 때

[root@localhost ~]# iptables -A INPUT -p tcp --dport 21 -m geoip --src-cc KR -j ACCEPT

[root@localhost ~]# iptables -A INPUT -p tcp --dport 21 -j DROP

[root@localhost ~]# iptables -A INPUT -p tcp --dport 21 -m geoip --src-cc KR -j ACCEPT

# 중국에서의 웹 접속을 차단하고 다른 곳에서의 접속은 허용하고자 할 때

root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m geoip --src-cc CN -j DROP

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

 

** 국가별 코드 **

 

대한민국        KR

네덜란드        NL

싱가포르        SG

포르투칼        PT

중국              CN

미국              US

일본               JP

독일              DE

호주              AU


List of Articles
번호 제목 글쓴이 날짜 조회 수
88 CentOS 5.2 32bit 에 2.6.27.4 커널 + iptables 1.4.2 + c... ADMIN 2008.11.10 7866
87 ZONE-H.KR ADMIN 2008.11.11 8600
86 wowhacker.com ADMIN 2008.11.11 8108
85 웹취약점 점검 ADMIN 2008.11.25 9301
84 리눅스 해킹점검 가이드 ADMIN 2008.12.10 18283
83 보안서버로 redirection 설정 하기 ADMIN 2008.12.14 10334
82 fcheck - 리눅스 시스템 무결성 검사 툴 ADMIN 2008.12.14 11079
81 보안서버 구축시 openssl/modssl/apache 버전 호환성 ADMIN 2008.12.14 10935
80 보안서버구축 - SSL(설치 및 키생성) 1 ADMIN 2009.01.04 10517
79 리눅스 아이피 차단 해제 ADMINPLAY 2009.03.11 10585
78 최신 버전으로 구축하는 웹 파이어월, modsecurity file ADMINPLAY 2009.03.17 12903
77 apache 웹방화벽 모듈 modsecurity용 웹설정 툴, Remo file ADMINPLAY 2009.03.17 10090
76 보안서버 SSL 구동시 비밀번호 자동 입력 및 부팅시 자동 ... ADMINPLAY 2009.03.23 9372
75 mod_evasive를 이용한 웹Dos 공격을 막자 ADMINPLAY 2009.05.07 9473
» 국가별로 접속 차단설정(geoip 설치) ADMINPLAY 2009.05.10 10462
73 접속 로그파일 보기(wtmp) ADMINPLAY 2009.05.11 13941
72 해킹툴이 사용하는 포트번호 ADMINPLAY 2009.05.22 9864
71 SQL 인젝션(injection) 프로그램 15종 ADMINPLAY 2009.05.22 12574
70 기본 tcpdump사용법 ADMINPLAY 2009.05.22 11740
69 DOS Attack을 막기 위한 간단한 방법 ADMINPLAY 2009.05.22 9618
Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234