IPtables 이용한 방화벽 정책 설정 및 명령활용

🌟BugsBunny🌟 2015. 3. 9. 13:44

2015. 3. 9. 13:44

사실 공유기 상태에서 서버 운영시 방화벽을 내부 시스템에서 구체적으로 설정을 할 필요는 없다.

왜냐하면 공유기 자체가 방화벽 기능을 담고 있고 설정에서 포워딩 기능을 이용해서 지정된 포트 외에는 접근이

불가능하기 때문이다. 다만 이 방화벽 사슬은 개인 공유기가 아닌 실재로 고정IP상태에서 직접 네트워크에 물려있는 서버 컴퓨터에서만 해 주면 좋을 것이다. 그렇지 않으면 보안적으로 해킹을 당할 확률이 높아진다.

root@ns♥Bunny♥/shellroot]# vi iptables_powerSecurity_script.sh

echo "###################################################################"

echo "#################### 시스템 방화벽 정책 보안 설정 #################"

echo "#################### 작성자 : 하 태 용 <bunny> #################"

echo "#################### http://bunnyblog.tistory.com #################"

echo "#################### E-Mail : bunny@apptree.pe.kr ################"

echo "###################################################################"

IPTABLES="/sbin/iptables"

IP_ADDR=`grep "IPADDR=" /etc/sysconfig/network-scripts/ifcfg-Auto_eth0 | awk -F'=' '{ print $2 }'`

. /etc/init.d/functions

case "$1" in

start|restart)

echo "$1ing next_firewall :"

;;

stop)

echo "$1ping next_firewall :"

$IPTABLES -F

$IPTABLES -X

$IPTABLES -P INPUT ACCEPT

$IPTABLES -P FORWARD ACCEPT

$IPTABLES -P OUTPUT ACCEPT

exit

;;

echo $"Usage: $0 {start|restart|stop}"

exit

;;

esac

echo "================== 룰셋 초기화 ====================="

$IPTABLES -F

echo "================== 기본정책 설정 ======================"

$IPTABLES -P INPUT DROP

$IPTABLES -P FORWARD DROP

$IPTABLES -P OUTPUT ACCEPT

echo "================== Loopback 트래픽 허용 ================="

$IPTABLES -A INPUT -i lo -j ACCEPT

echo "================== 자기자신을 소스로 하는 트래픽 차단 =================="

$IPTABLES -A INPUT -i eth0 -s $IP_ADDR -j DROP

$IPTABLES -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP

echo "================== 상태추적 설정 ======================="

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A INPUT -p all -m state --state INVALID -j DROP

echo "================== 비정상적 tcp-flags 차단 ==================="

$IPTABLES -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL PSH,FIN -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL URG,PSH,FIN -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,ACK,FIN -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,FIN,PSH -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,FIN,RST -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,FIN,RST,PSH -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,FIN,ACK,RST -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,ACK,FIN,RST,PSH -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

echo "================== ftp servive ========================"

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 20 -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 21 -m state --state NEW -j ACCEPT

echo "================== ssh servive ========================"

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 22 -m state --state NEW -j ACCEPT

echo "================== telnet servive ======================"

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 23 -m state --state NEW -j ACCEPT

echo "================== smtp servive ======================="

#$IPTABLES -A INPUT -p tcp --sport 1024: --dport 25 -m state --state NEW -j ACCEPT

echo "================== domainserver servive ====================="

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 53 -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p udp --sport 1024: --dport 53 -m state --state NEW -j ACCEPT

echo "================== http servive ====================="

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 80 -m state --state NEW -j ACCEPT

echo "================== OpenVPN service ==================="

$IPTABLES -A INPUT -p udp --sport 1024: --dport 1194 -m state --state NEW -j ACCEPT

echo "================== pop3 servive ====================="

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 110 -m state --state NEW -j ACCEPT

echo "================== identd servive ==================="

$IPTABLES -A INPUT -p tcp --syn --dport 113 -j REJECT --reject-with tcp-reset

echo "================== imap servive =================="

#$IPTABLES -A INPUT -p tcp --sport 1024: --dport 143 -m state --state NEW -j ACCEPT

echo "================== snmp servive =================="

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 161 -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p udp --sport 1024: --dport 161 -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p udp --sport 1024: --dport 199 -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 199 -m state --state NEW -j ACCEPT

echo "================== https servive ================="

#$IPTABLES -A INPUT -p tcp --sport 1024: --dport 443 -m state --state NEW -j ACCEPT

echo "================== rsync servive ================="

#$IPTABLES -A INPUT -p tcp --sport 1024: --dport 873 -m state --state NEW -j ACCEPT

echo "================== mysql servive ================="

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 3306 -m state --state NEW -j ACCEPT

echo "================== http servive 3000 =================="

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 3000 -m state --state NEW -j ACCEPT

echo "================== servive luxe =================="

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 39789 -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p tcp --sport 1024: --dport 36785 -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

[root@ns♥Bunny♥/shellroot]# sh iptables_powerSecurity_script.sh

[root@ns♥Bunny♥/shellroot]# iptables –L è 방화벽 정책을 확인한다.

[root@ns♥Bunny♥/shellroot]# iptables –F è 방화벽 정책을 초기화 한다.

<참고 내용>

iptables 보안 사슬 옵션

-A(--append) : 정책안에 규칙을 덧붙인다. -D(--delete) : 한개또는 그이상의 선택된 규칙을 지운다

-R(--replace) :선택된 규칙을 새로운 규칙으로 대체한다. -I(--insert) : 정책속에 새로운 규칙을 넣는다.

-P(--policy) : 기본 정책을 변경한다 -N(--new-chain) : 새로운 정책수립한다

-X(--delete-chain) : 정의되지 않은 규칙은 지운다. -L(--list) : 각 정책을 나열한다.

0-F(--flush) : 모든정책을 지운다 -Z(--zero) 정책안에있는 모든 규칙들의 패킷이나 카운터의 바이트값을 0으로

초기화한다.

추가옵션 è ACCEPT <당연히 받아들인다는 뜻이고> REJECT

– DENY <거부한다는 뜻인데 REJECT는 친절하게 '거부되었습니다>

DENY <불친절하게 아무런 응답이 없는 것을 의미한다>

세부 옵션 è -p(--protocol) 이 규칙의 protocol -s(--source) 발신지 주소 -sport(--source-port)

발신지 port(모든주소에 대해서)

-d(--destination) 도착지 주소 -dport(--destination-port) 도착지 port(모든 주소에 대해서) -icmp-type

ICMP type을 나타낸다 -j(--jump) 패킷을 점프시킨다. -i(--interface) 인터페이스를 지정해준다.

======================================================================================

iptables -s 211.238.165.111 -j DROP è 막기

iptables -A INPUT -s 211.238.165.111 -p tcp --destination-port telnet -j DROP è Service 차단하기

iptables -A INPUT -p tcp --destination-port telnet -i ppp0 -j DROP è 선택적인 차단

iptables -A INPUT -i ppp0 -p tcp --syn -j DROP è SYN Packets 막기

iptables -A INPUT -i ppp0 -p tcp --syn --destination-port ! 80 -j DROP è SYN Packets web 막기

iptables -P FORWARD ACCEPT è Chain 정책

=============================================================================================================

저작자표시 비영리 변경금지

'🌟2017년 이전 포스팅 모음 🌟 > 💞Linux OS💞' 카테고리의 다른 글

접속 메시지 수정 및 공지 사항 설정 (0)	2015.04.04
Sendmail-pop3-imap 전반적인 설정 (0)	2015.03.09
OPENSSH 보안 접속 서버 설정 (0)	2015.03.09
Sulinux Bind 도메인 서버 설정 (0)	2015.03.09
Sulinux 유저와 그룹관리 설정 및 관련 명령어 사용법 (0)	2015.03.07

🏡Bunny의 다락방 공간🏡

IPtables 이용한 방화벽 정책 설정 및 명령활용

'🌟2017년 이전 포스팅 모음 🌟 > 💞Linux OS💞' 카테고리의 다른 글

+ Recent posts

티스토리툴바