iptables FORWARD 체인

* 퀴즈

공격자에서 ping www.google.com 결과는?

이유는?

* 미션 lynx

공격자 서버에 설치 CD를 이용해서 lynx 설치 하시오.

lynx 주소

ex) lynx www.google.com

     lynx 192.168.124.200

mkdir /dvdrom

mount /dev/cdrom /dvdrom

cd /dvdrom/Packages

rpm -Uvh lynx*

ls centos-indexhtml*

rpm -Uvh centos-indexhtml*

rpm -Uvh lynx*

* 방화벽에서 sh fswtart.sh

iptables -L

 내용 - firewalld 중지

         기존 정책 삭제

         각 체인별(INPUT/OUTPUT/FORWARD) 기본 정책 DROP

         방화벽의 3개의 NIC ip로 ping이 어디서든(누구나) 되도록

         방화벽으로 ssh 접속은 본인 win7에서만 되도록

         구글DNS서버(8.8.8.8)로만 네임 쿼리가 되도록

 ssh id@서버주소

 ssh yhkim@192.168.0.4

 ssh [root@]192.168.0.4

 공격자 서버에서 방화벽으로 ssh 접속이 가능하도록 정책 추가

 192.168.0.6

 iptables -A INPUT -i eth0 -s 192.168.0.6 -p tcp --dport 22 -j ACCEPT

 iptables -A OUTPUT -o eth0 -d 192.168.0.6 -p tcp --sport 22 -j ACCEPT

 공격자 서버에서 웹서버로 ping이 되도록 정책 추가!

iptables -A FORWARD -s 192.168.0.73 -d 192.168.196.200 -p icmp -j ACCEPT

iptables -A FORWARD -s 192.168.196.200 -d 192.168.0.73 -p icmp -j ACCEPT

 공격자 서버에서 웹서버로 ssh 접속이 되도록 정책 추가!

iptables -A FORWARD -s 192.168.0.73 -d 192.168.196.200 -p tcp --dport 22 -j ACCEPT

iptables -A FORWARD -s 192.168.196.200 -d 192.168.0.73 -p tcp --sport 22 -j ACCEPT

 공격자 서버에서 웹서버로 웹 접속이 되도록 정책 추가!

iptables -A FORWARD -s 192.168.0.73 -d 192.168.196.200 -p tcp --dport 80 -j ACCEPT

iptables -A FORWARD -s 192.168.196.200 -d 192.168.0.73 -p tcp --sport 80 -j ACCEPT

 커널 옵션 확인

sysctl -a |grep forward

sysctl -a |grep net.ipv4.ip_forward

 OS에서 포워딩 적용 시키기

sysctl -w net.ipv4.ip_forward=1

echo 1 > /proc/sys/net/ipv4/ip_forward

 * 정책 연습(복습)

 조건1 : 모든 정책 초기화 & 모든 체인의 기본 정책을 차단으로 변경 하시오.

systemctl stop firewalld

lokkit --enabled

iptables -F

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

sysctl -w net.ipv4.ip_forward=1

 조건2 : 공격자는 방화벽으로 모든 패킷 차단, 내부서버(Client PC/Web server) & Win7 pc에서만 방화벽으로 ping과 ssh 접속 허용 하시오.

iptables -A INPUT -s 공격자_ip -j DROP

iptables -A OUTPUT -d 공격자_ip -j DROP

iptables -A INPUT -s 서버_ip,PC_ip,Win7_ip -p icmp -j ACCEPT

iptables -A OUTPUT -d 서버_ip,PC_ip,Win7_ip -p icmp -j ACCEPT

iptables -A INPUT -s 서버_ip,PC_ip,Win7_ip -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -d 서버_ip,PC_ip,Win7_ip -p tcp -sport 22 -j ACCEPT

 조건3 : 공격자포함 모든 곳에서 웹서버로 http, ping 허용

iptables -A FORWARD -d 웹서버_ip -p icmp -j ACCEPT

iptables -A FORWARD -s 웹서버_ip -p icmp -j ACCEPT

(=> iptables -A FORWARD -p icmp -j ACCEPT)

iptables -A FORWARD -d 웹서버_ip -p tcp --dport 80 -j ACCEPT

iptables -A FORWARD -s 웹서버_ip -p tcp --sport 80 -j ACCEPT

 조건4 : Client PC에서만 웹서버로 ssh 접속 허용 하시오.

 (PC:192.168.253.200, 웹서버:192.168.124.200:22)

iptables -A FORWARD -s PC_ip -d 웹서버_ip -p tcp --dport 22 -j ACCEPT

iptables -A FORWARD -s 웹서버_ip -d PC_ip -p tcp --sport 22 -j ACCEPT

iptables -A FORWARD -s 192.168.253.200 -d 192.168.124.200 -p tcp --dport 22 -j ACCPET

iptables -A FORWARD -s 192.168.124.200 -d 192.168.253.200 -p tcp --sport 22 -j ACCEPT