-
iptables FORWARD 체인침입차단시스템 2016. 4. 26. 16:42
* 퀴즈
공격자에서 ping www.google.com 결과는?
이유는?
* 미션 lynx
공격자 서버에 설치 CD를 이용해서 lynx 설치 하시오.
lynx 주소
ex) lynx www.google.com
lynx 192.168.124.200
mkdir /dvdrom
mount /dev/cdrom /dvdrom
cd /dvdrom/Packages
rpm -Uvh lynx*
ls centos-indexhtml*
rpm -Uvh centos-indexhtml*
rpm -Uvh lynx*
* 방화벽에서 sh fswtart.sh
iptables -L
내용 - firewalld 중지
기존 정책 삭제
각 체인별(INPUT/OUTPUT/FORWARD) 기본 정책 DROP
방화벽의 3개의 NIC ip로 ping이 어디서든(누구나) 되도록
방화벽으로 ssh 접속은 본인 win7에서만 되도록
구글DNS서버(8.8.8.8)로만 네임 쿼리가 되도록
ssh id@서버주소
ssh yhkim@192.168.0.4
ssh [root@]192.168.0.4
공격자 서버에서 방화벽으로 ssh 접속이 가능하도록 정책 추가
192.168.0.6
iptables -A INPUT -i eth0 -s 192.168.0.6 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.6 -p tcp --sport 22 -j ACCEPT
공격자 서버에서 웹서버로 ping이 되도록 정책 추가!
iptables -A FORWARD -s 192.168.0.73 -d 192.168.196.200 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.196.200 -d 192.168.0.73 -p icmp -j ACCEPT
공격자 서버에서 웹서버로 ssh 접속이 되도록 정책 추가!
iptables -A FORWARD -s 192.168.0.73 -d 192.168.196.200 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 192.168.196.200 -d 192.168.0.73 -p tcp --sport 22 -j ACCEPT
공격자 서버에서 웹서버로 웹 접속이 되도록 정책 추가!
iptables -A FORWARD -s 192.168.0.73 -d 192.168.196.200 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.196.200 -d 192.168.0.73 -p tcp --sport 80 -j ACCEPT
커널 옵션 확인
sysctl -a |grep forward
sysctl -a |grep net.ipv4.ip_forward
OS에서 포워딩 적용 시키기
sysctl -w net.ipv4.ip_forward=1
echo 1 > /proc/sys/net/ipv4/ip_forward
* 정책 연습(복습)
조건1 : 모든 정책 초기화 & 모든 체인의 기본 정책을 차단으로 변경 하시오.
systemctl stop firewalld
lokkit --enabled
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
sysctl -w net.ipv4.ip_forward=1
조건2 : 공격자는 방화벽으로 모든 패킷 차단, 내부서버(Client PC/Web server) & Win7 pc에서만 방화벽으로 ping과 ssh 접속 허용 하시오.
iptables -A INPUT -s 공격자_ip -j DROP
iptables -A OUTPUT -d 공격자_ip -j DROP
iptables -A INPUT -s 서버_ip,PC_ip,Win7_ip -p icmp -j ACCEPT
iptables -A OUTPUT -d 서버_ip,PC_ip,Win7_ip -p icmp -j ACCEPT
iptables -A INPUT -s 서버_ip,PC_ip,Win7_ip -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d 서버_ip,PC_ip,Win7_ip -p tcp -sport 22 -j ACCEPT
조건3 : 공격자포함 모든 곳에서 웹서버로 http, ping 허용
iptables -A FORWARD -d 웹서버_ip -p icmp -j ACCEPT
iptables -A FORWARD -s 웹서버_ip -p icmp -j ACCEPT
(=> iptables -A FORWARD -p icmp -j ACCEPT)
iptables -A FORWARD -d 웹서버_ip -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 웹서버_ip -p tcp --sport 80 -j ACCEPT
조건4 : Client PC에서만 웹서버로 ssh 접속 허용 하시오.
(PC:192.168.253.200, 웹서버:192.168.124.200:22)
iptables -A FORWARD -s PC_ip -d 웹서버_ip -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 웹서버_ip -d PC_ip -p tcp --sport 22 -j ACCEPT
iptables -A FORWARD -s 192.168.253.200 -d 192.168.124.200 -p tcp --dport 22 -j ACCPET
iptables -A FORWARD -s 192.168.124.200 -d 192.168.253.200 -p tcp --sport 22 -j ACCEPT
'침입차단시스템' 카테고리의 다른 글
복습 및 상태기반 (0) 2016.05.10 복습 & log (0) 2016.05.03 방화벽 정책 설정 시 중요사항 (0) 2016.04.19 iptables 복습 (0) 2016.04.19 3장 (0) 2016.04.13