ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 방화벽 정책 설정 시 중요사항
    침입차단시스템 2016. 4. 19. 14:46

    * 방화벽 정책 설정 시 중요사항(포인트) : 잘 / 잘못 -> 장애


    1) 방향

    INPUT / OUTPUT / FORWARD

    ex1) 출발지 192.168.0.2 -> 목적지 192.168.0.4 ssh ACCEPT

    ex2) 출발지 192.168.0.2 -> 목적지 192.168.124.200 HTTP ACCEPT


    2) 순서

    ex1) INPUT

    출발지 192.168.0.2 -> 목적지 192.168.0.4 ssh ACCEPT

    출발지 222.222.222.222(공격자) -> 목적지 ANY(ALL) ANY(ALL) DROP

    ex2) FORWARD

    출발지 222.222.222.222(공격자) -> 목적지 ANY(ALL) ANY(ALL) DROP

    출발지 ANY(ALL) -> 목적지 192.168.124.200 HTTP ACCEPT


    3) 객체

    ex)

    web = 192.168.124.200, 192.168.124.201, 192.168.124.202

    공격자 = x.x.x.x, y.y.y.y, z.z.z.z


    FORWARD 출발지 공격자 -> 목적지 web HTTP DROP

    FORWARD 출발지 ANY -> 목적지 web HTTP ACCEPT


    FORWARD 출발지 ANY(ALL) -> 목적지 192.168.124.200 HTTP ACCEPT

    FORWARD 출발지 ANY(ALL) -> 목적지 192.168.124.200 HTTP ACCEPT

    FORWARD 출발지 ANY(ALL) -> 목적지 192.168.124.200 HTTP ACCEPT


    FORWARD 출발지 x.x.x.x -> 목적지 ANY HTTP DROP

    FORWARD 출발지 y.y.y.y -> 목적지 ANY HTTP DROP

    FORWARD 출발지 z.z.z.z -> 목적지 ANY HTTP DROP


    4) 액션(타깃)

    ex) ACCEPT/DROP -> X 


    5) 내용

    ex) ssh 22/23 -> X


     * 정책 추가 : -A 체인명 [매치] [타깃]

    -p 프로토콜 (tcp/udp/icmp)

    --dport num 목적지

    --sport num 출발지


    iptables -A INPUT -p icmp -j ACCEPT

    iptables -A OUTPUT -p icmp -j ACCEPT


    iptables -A INPUT -p tcp -j ACCEPT

    iptables -A OUTPUT -p tcp -j ACCEPT


    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT


    iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

    iptables -A INPUT -p udp --sport 53 -j ACCEPT


    iptables -A INPUT -p icmp -j DROP


     * 정책 추가 : -I 체인명 [num] [매치] [타깃]

    iptables -I INPUT -p icmp -j DROP

    iptables -I INPUT 3 -p udp -j DROP

    -i 장치명 : 들어오는 패킷의 장치 지정

    -o 장치명 : 나가는 패킷의 장치 지정

    ! : not

    -s ip

    -d ip


     * 정책 삭제 : -D 체인명 num

    ex1)

    iptables -D OUTPUT 3

    ex2)

    iptables -A OUTPUT -p udp --sport 53 -j ACCEPT

    iptables -D OUTPUT -p udp --sport 53 -j ACCEPT


    <실습>

    sh fwstart.sh

    ping 모두 가능 / 모든 NIC로 가능

    ssh 본인만 접속 가능 / 모든 NIC로 가능

    iptables -A INPUT -i eth0 -s 192.168.0.2 -p tcp --dport 22 -j ACCEPT

    iptables -A OUTPUT -o eth0 -d 192.168.0.2 -p tcp --sport 22 -j ACCEPT


    방화벽에서 8.8.8.8 로 네임 쿼리가 가능

    iptables -A OUPUT -o eth0 -d 8.8.8.8 -p udp --dport 53 -j ACCEPT

    iptables -A INPUT -i eth0 -s 8.8.8.8 -p udp --sport 53 -j ACCEPT

    '침입차단시스템' 카테고리의 다른 글

    복습 & log  (0) 2016.05.03
    iptables FORWARD 체인  (0) 2016.04.26
    iptables 복습  (0) 2016.04.19
    3장  (0) 2016.04.13
    2장  (0) 2016.04.13
Designed by Tistory.