iptables - 해당되는 글 2건

#iptable의 브릿지 방화벽 보안룰 적용 자신의 환경에 맞게 수정하세요!!

#!/bin/sh
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -F

iptables -F
#기존에 설정되어 있는 정책을 초기화 한다.

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#초기 정책을 ACCEPT(허용)으로 설정한다.

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# 루프백 트래픽은 허용한다

iptables -A FORWARD -s 218.154.192.XXX -m state --state NEW -j ACCEPT
iptables -A FORWARD -s 218.154.192.XXX -m state --state NEW -j ACCEPT
# 내부의 서버에 대해서 각각 서버를 소스로 한 패킷을 허용해준다.이설정이 없으면 외부에서
   내부로 접속은 가능하지만, 내부의 서버들이 인터넷에 접속할수 가 없다.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# 허용된 룰에 이미 세션을 맺어 상태추적테이블 목록에 있는 패킷은 허용한다.

iptables -A INPUT -p TCP -s 211.220.XX.XX --sport 1024: --dport 22 -m state --state NEW -j ACCEPT
#방화벽자체에 대해 소스 211.220.XX.XX만 SSH접속 허용한다.


==== 이제 FORWARD 이용해 방화벽 내부에 서버에 대해 허용할 서비스를 허용한다. ====

iptables -A FORWARD -p TCP -s 211.220.XX.XX --sport 1024:65535 -d 218.154.XX.XX --dport 3389 -m state --state NEW -j ACCEPT
#외부 211.220.XX.XX에서 218.154.XX.XX로 터미널 서비스 접속을 허용한다.

iptables -A FORWARD -p TCP -s 211.220.XX.XX --sport 1024:65535 -d 218.154.XX.XX --dport 22 -m state --state NEW -j ACCEPT
#외부 211.220.XX.XX에서 218.154.XX.XX로 SSH 접속을 허용한다.

iptables -A FORWARD -p TCP --sport 1024:65535 -d 218.154.XX.XX --dport 80 -m state --state NEW -j ACCEPT
#외부 ANY에서 218.154.XX.XX로 WWW 접속을 허용한다.

iptables -A FORWARD -p TCP -s 211.220.XX.XX --sport 1024:65535 -d 218.154.XX.XX --dport 8080 -m state --state NEW -j ACCEPT
#외부 211.220.XX.XX에서 218.154.XX.XX로 WWW 접속을 허용한다.

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#OUTPUT정책만 허용하고 INPUT과 FORWARD는 거부한다.

|

CentOS5.3 으로 리눅스 브릿지 방화벽 구축하였습니다. eht0(외부),eth1(내부)연결했습니다.

인터넷 - (eth0)방화벽(eth1) - 스위치 -서버들 => 이렇게 구성했음

2.6커널에서는 기본적으로 bridge모드를 지원하기 때문에 brctl 유틸리만 다운 받아서 사용하시면 됩니다.

사용자 삽입 이미지

1. yum install bridge-utils 업데이트 합니다.
2. /etc/sysctl.conf수정 net.ip4.ip_forward = 1 로 수정 합니다.
3. /etc/sysconfig/network-scripts에 ifcfg-br0 파일 생성

  *파일에 삽입
  DEVICE=br0
  TYPE=Bridge
  IPADDR=218.154.XXX.XXX
  GATEWAY=218.154.XXX.XXX
  NETMASK=255.255.255.XXX
  ONBOOT=yes
  ====================================================
  ifcfg-eth0 수정
  DEVICE=eth0
  BRIDGE=br0
  ONBOOT=yes
  ====================================================
  ifcfg-eth1 수정
  DEVICE=eth1
  BRIDGE=br0
  ONBOOT=yes
  ====================================================
4. brctl show 실행
  bridge name     bridge id               STP enabled     interfaces
  Bridge firewalling registered => 브릿지 파이월이 등록되었다고 나옴
5. lsmod로 bridge 모듈 올라왔는지 확인
6. service network restart 실행

7.brctl show 로 브리지 상태 확인
 [root@firewall ~]# brctl show
 bridge name     bridge id               STP enabled     interfaces
 br0             8000.00c09f2a6974       no              eth1
                                                                  eth0

여기까지 한후 eth0과 eth1에 한번씩 케이블을 연결해서 PING이 되는지 확인합니다.
이제 iptables 로 브릿지 정책을 설정하면 된다. 기본적으로 iptables 기본정책
INPUT,OUTPUT은 방화벽 자체에 룰을 적용하는것이고, 브릿지 통과는 FORWARD에 적용받는다.

iptables 정책보기
http://kjhfull.tistory.com/entry/firewallpolicy


참고 : centOS 5.3 2.6커널에서는 브릿지 모드가 기본제공되고 유틸만 설치하면 되는데..혹시 안되시는 분들은 make menuconfig 에서 아래 선택후 재컴파일 해보시기 바랍니다.
사용자 삽입 이미지

Networking -> Network options -> 802.1D Ethernet Bridginf 체크
Networking -> Network options -> Network packet fileting(replaces ipchains) 체크
Networking -> Network options -> Network packet filtering(replaces ipchains) 하위메뉴
-> Bridged IP/ARP packets filtering 체크 후 하위메뉴 -->Bridge:Netfilter configuration ->
Ethernet Bridge tables(ebtables) supoort 모두체크 후 커널을 재 컴파일
============================================================================================

|

샹콤홍쓰's Blog is powered by Daum & tistory