-
방화벽 정책 설정 시 중요사항침입차단시스템 2016. 4. 19. 14:46
* 방화벽 정책 설정 시 중요사항(포인트) : 잘 / 잘못 -> 장애
1) 방향
INPUT / OUTPUT / FORWARD
ex1) 출발지 192.168.0.2 -> 목적지 192.168.0.4 ssh ACCEPT
ex2) 출발지 192.168.0.2 -> 목적지 192.168.124.200 HTTP ACCEPT
2) 순서
ex1) INPUT
출발지 192.168.0.2 -> 목적지 192.168.0.4 ssh ACCEPT
출발지 222.222.222.222(공격자) -> 목적지 ANY(ALL) ANY(ALL) DROP
ex2) FORWARD
출발지 222.222.222.222(공격자) -> 목적지 ANY(ALL) ANY(ALL) DROP
출발지 ANY(ALL) -> 목적지 192.168.124.200 HTTP ACCEPT
3) 객체
ex)
web = 192.168.124.200, 192.168.124.201, 192.168.124.202
공격자 = x.x.x.x, y.y.y.y, z.z.z.z
FORWARD 출발지 공격자 -> 목적지 web HTTP DROP
FORWARD 출발지 ANY -> 목적지 web HTTP ACCEPT
FORWARD 출발지 ANY(ALL) -> 목적지 192.168.124.200 HTTP ACCEPT
FORWARD 출발지 ANY(ALL) -> 목적지 192.168.124.200 HTTP ACCEPT
FORWARD 출발지 ANY(ALL) -> 목적지 192.168.124.200 HTTP ACCEPT
FORWARD 출발지 x.x.x.x -> 목적지 ANY HTTP DROP
FORWARD 출발지 y.y.y.y -> 목적지 ANY HTTP DROP
FORWARD 출발지 z.z.z.z -> 목적지 ANY HTTP DROP
4) 액션(타깃)
ex) ACCEPT/DROP -> X
5) 내용
ex) ssh 22/23 -> X
* 정책 추가 : -A 체인명 [매치] [타깃]
-p 프로토콜 (tcp/udp/icmp)
--dport num 목적지
--sport num 출발지
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
* 정책 추가 : -I 체인명 [num] [매치] [타깃]
iptables -I INPUT -p icmp -j DROP
iptables -I INPUT 3 -p udp -j DROP
-i 장치명 : 들어오는 패킷의 장치 지정
-o 장치명 : 나가는 패킷의 장치 지정
! : not
-s ip
-d ip
* 정책 삭제 : -D 체인명 num
ex1)
iptables -D OUTPUT 3
ex2)
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
iptables -D OUTPUT -p udp --sport 53 -j ACCEPT
<실습>
sh fwstart.sh
ping 모두 가능 / 모든 NIC로 가능
ssh 본인만 접속 가능 / 모든 NIC로 가능
iptables -A INPUT -i eth0 -s 192.168.0.2 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.2 -p tcp --sport 22 -j ACCEPT
방화벽에서 8.8.8.8 로 네임 쿼리가 가능
iptables -A OUPUT -o eth0 -d 8.8.8.8 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -s 8.8.8.8 -p udp --sport 53 -j ACCEPT
'침입차단시스템' 카테고리의 다른 글
복습 & log (0) 2016.05.03 iptables FORWARD 체인 (0) 2016.04.26 iptables 복습 (0) 2016.04.19 3장 (0) 2016.04.13 2장 (0) 2016.04.13