#lokkit
#iptables -Z
패킷의 용량을 초기화 시킨다 (모든 패킷 0 )
룰셋팅을 했을때 모니터링 할때 사용한다
#iptables -N (chain 을 만든다)
-X (추가된 chain을 삭제 )
-E (chain명을 change 사용자 정의)
#iptables -X RH-Firewall-1-INPUT
(사용자 정의 Chain 삭제)
#iptables -nL (삭제 되었는지 확인)
새로운 chain 생성
#iptables -N TESTCHAIN
#iptables -nL
생성된 Chain 이름 변경
#iptables -E 예전chain명 새로운chain명
#iptables -E TESTCHAIN SSHD
#iptables -nL
새로운 chain을 만드는것은 관리를 쉽게 하기 위해서 만드는 것이다
rule이 많을 경우 관리하기가 어렵기 때문이다
서비스별로 분리를 하면 관리가 쉽다
사용자 저의 chain 은 policy 가 안되며 references가 적용
가정 >
rule을 적용을 했을경우 하나도 매칭이 되지 않을 경우
최종적으로 rule 이 하나가 시작된다
최종 rule (기본정책:policy)
1. 윈xp에서 serv로 접속 ssh
2. serv에서 셋팅 (사용자 정의 SSHD)
#iptables -t filter -A SSHD -s 192.168.37.1 -j DROP
기본적으로 명령어를 보면 접속이 되지 않겠다고 생각하겠지만
사용자 정의는 그 자체만으로는 적용이 되지 않는다
기본 chain하고 링크가 걸어져야만 적용이 된다
#iptables -t filter -I INPUT -j SSHD (링크를건다)
이제 링크가 걸려서 xp에서 serv는 접속이 되지 않는다
#iptables -vL
#iptables -X SSHD (링크가 걸려서 삭제가 되지 않는다)(
#iptables -t filter -D INPUT 1
#iptables -X SSHD (삭제확인 : 되지 않는다 chain안에 룰)
#iptables -F SSHD (SSHD에 들어있는 모든 rule을 삭제할때 사용)
#iptables -X SSHD ( SSHD 사용자 정의 chain 이 삭제 된다)
#iptables -L
iptables -P (기본 디폴트값 정책을 바꾼다 ACCEPT를 다른것으로)
기본 정책으로 보통 다 아래와 같이 설정해 둔다
이렇게 설정해 둘 경우 필요한 서비스만 ACCEPT 하여 보완성 안전하게
구성할 수 있다
#iptables -P INPUT DROP (모든 들어오는 패킷 DROP)
#iptables -P FORWARD DROP (개인 방화벽이므로 포워드 DROP)
#iptables -P OUTPUT ACCEPT (설정 or 기본값 나가는거...)
위와같이 설정할 경우 몇가지 문제점이 있다.,(다른 컴과 통신 두절)
#ping 192.168.37.20 (핑 가지 않는다)
#yum -y install telnet-server (다운로드 되지 않는다)
위와 같이 하는것은 핑이 다시 되돌아 올때 INPUT으로 들어오는 패킷을
DROP하기 때문이다
위의 것이 1세대 방화벽 방식이다.
이 모든것을 해결하기 위해서 상태 추적 테이블을 이용한다
======================상태 추적 테이블====================
현재 연결상태의 상태정보를 이용하여 패킷의 drop/allow 여부를
결정한다면 많은 검사를 생략하여 방화벽의 속도를 획기적으로
향상이 가능하다.
명령어
# -m stat -state{NEW,ESTABLISHED,RELATED,INVLALID}
-NEW : 새로운 연결을 시작하거나 이전에 사용한 상태추적
테이블에 정보가 없을때 (사용안한다)
-ESTABLISHED : 정상적으로 연결이 형성된 경우
(ACK 패킷이 정상적으로 처리된 경우)
-RELATED : FTP 서비스와 같이 제어포트와 데이터포트가 별도로
존재할때 데이터를 전송하기 위해서는 제어포트를 통해
데이터 포트의 연결을 시도한다
이때 사용되는 연결 상태를 의미한다
-INVALID : 연결상태를 알 수 없거나 잘못된 접속 요청을 할때
정상적으로 접속을 할려면 -ESTABLISHED 나 RELATED 또는 INVLALID
<SERV 에서 정상적으로 이제 방화벽을 구동 (위 문제점을 해결) >
#iptables -t filter -I INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
#ping 192.168.37.20 (이제 핑이 제대로 간다)
#cat /proc/net/ip_conntrack
상태추적테이블은 메모리에 만들어 진다.
이것은 항상 유지가 되는 것이 아니라 시간이 경과 후 사라진다.
Rule Matching
#ssh root@localhost
자기 자신이 ssh서버에 접속이 되지 않는다
-i lo -j ACCEPT : 루프백에 들어오는 패킷 허용
-o eth0 -j DROP : eth0에 들오는 패킷 DROP
#iptables -t filter -A INPUT -i lo -j ACCEPT
위 명령어는 loopbak 의 패킷을 허용한다는 것이다.
#ssh root@localhost (접속이 이제는 된다)
-negation (부정문)
부정표시 ! 표시 (아이피 앞 또는 port번호 앞)
-TCP MATCHES
-p tcp, --protocal tcp
--sport , --source-port
--dport , --destinatioon-port
port
UDP
TFTP : 69
NTP : 123
SYSLOG : 514
DHCP : 67.68
<SERV>
#iptable -F
#vi /var/www/html/index.html
<html>
<body bgcolor=green>
<h1>Host Firewall</h1>
</body>
</html>
#vi /etc/xinetd.d/telnet
disable = no 수정
#service httpd start
#service vsftpd start
#service xinetd restart
#netstat -ntlp 명령으로 open port 확인
퀴즈> serv 컴에는 많은 서비스가 동작중이다 이러한 서비스중 xp에게는
web서비스만 접속을 허용하고, work컴에게는 ssh.telnet 서비스만
허용 할 수 있도록 serv 컴의 방화벽을 셋팅하세요
(단 위에서 언급되지 않는 서비스의 접속은 모두 차단)
-t filter (입력안해도 된다 미 입력시 기본으로 된다)
#iptable -P INPUT DROP
#iptables -I INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
#iptables -A INPUT -s 192.168.37.1 -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -s 192.168.37.20 -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -s 192.168.37.20 -p tcp --dport 23 -j ACCEPT
입력후 제대로 동작이 되는지 확인...
