특정 IP 접속제한/거부 하기( route, iptable, oops-firewall )
출근직후 서버이상유무점검을 하다보면 message, secure 로그를 비롯한 각종로그에
비정상적인 방법으로 접속을 시도하는 아이피가 있다.
이외에도 특정아이피에 대해서 접속을 차단하고자 여러방법을 찾아봤다.
1. tcp wrapper ( /etc/hosts.deny, /etc/hosts.allow )
일반적으로 원격접속(ssh), 파일전송(FTP) 서비스를 관리자의 특정아이피에 한해서
개방하는데서 사용한다. ( 물론 필자도 이런용도로 사용중 )
그리고 tcp wrapper 는 inetd 를 이용한 tcpd 데몬에 한한다.
ex) a.b.c.d 아이피 차단
/etc/hosts.deny -----------------------
ALL : a.b.c.d
----------------------------------------
ALL : tcpd 를 이용하는 모든서비스
ex) a.b.c.d 아이피 허용 ( sshd 데몬만 )
/etc/hosts.allow -----------------------
sshd : a.b.c.d
----------------------------------------
2. route 이용 ( 포트나 서비스 관계없이 모두 거부 )
#route add -host 차단할ip reject ; 차단될아이피를 추가
#route ; 차단된 아이피 확인 / 차단된 경우 Flags 가 H! 로 표시됨
- 하지만 route 명령을 이용해서 차단하면 패킷은 일단 받아들이고
응답을 제한하는 것이라서 비효율적임.
3. iptable 이용 ( 가장 합리적인 방법이라 생각함; )
iptable을 이용하면 가장능동적이게 처리할수있다.
#iptables -A INPUT -s 차단할ip -p tcp --dport 차단할포트 -j DROP
명령어로 등록할수있고..
영구적으로 등록하기위해서는 rc.local 같은 부팅스크립트파일에 등록해줘야한다.
조금더 쉽고 편하게 관리하고자 하면
http://oops.org 김정균님 홈페이지에서 oops-firewall 관련해서 찾아보기바랍니다~
무척간단하고 관리하기 편합니다 ^^;
ex) oops-firewall
/etc/oops-firewall/user.conf --------------------------------
%-A INPUT -s 차단할ip -p tcp --dport 차단할포트 -j DROP
------------------------------------------------------------
'LINUX' 카테고리의 다른 글
서버 시간 맞추기 (2) | 2007.01.22 |
---|---|
시스템 정보 확인하기 (0) | 2006.11.10 |
Yum (0) | 2006.09.17 |
X윈도우에서 Consol로 (0) | 2006.09.17 |
메일 계정만 접속가능하도록 설정 (0) | 2006.09.08 |