발진!! 아스라다

특정 IP 접속제한/거부 하기( route, iptable, oops-firewall )

출근직후 서버이상유무점검을 하다보면 message, secure 로그를 비롯한 각종로그에

비정상적인 방법으로 접속을 시도하는 아이피가 있다.

이외에도 특정아이피에 대해서 접속을 차단하고자 여러방법을 찾아봤다.

1. tcp wrapper ( /etc/hosts.deny, /etc/hosts.allow )

  일반적으로 원격접속(ssh), 파일전송(FTP) 서비스를 관리자의 특정아이피에 한해서

  개방하는데서  사용한다. ( 물론 필자도 이런용도로 사용중 )

  그리고 tcp wrapper 는 inetd 를 이용한 tcpd 데몬에 한한다.

  ex) a.b.c.d 아이피 차단

  /etc/hosts.deny -----------------------

  ALL : a.b.c.d 

  ----------------------------------------

  ALL : tcpd 를 이용하는 모든서비스

  ex) a.b.c.d 아이피 허용 ( sshd 데몬만 )

  /etc/hosts.allow -----------------------

  sshd : a.b.c.d

  ----------------------------------------

2. route 이용 ( 포트나 서비스 관계없이 모두 거부 )

  #route add -host 차단할ip reject    ; 차단될아이피를 추가

  #route ; 차단된 아이피 확인 / 차단된 경우 Flags 가 H! 로 표시됨

  - 하지만 route 명령을 이용해서 차단하면 패킷은 일단 받아들이고

     응답을 제한하는 것이라서 비효율적임.

3. iptable 이용 ( 가장 합리적인 방법이라 생각함; )

  iptable을 이용하면 가장능동적이게 처리할수있다.

   #iptables -A INPUT -s 차단할ip -p tcp --dport 차단할포트 -j DROP

  명령어로 등록할수있고..

  영구적으로 등록하기위해서는 rc.local 같은 부팅스크립트파일에 등록해줘야한다.

   조금더 쉽고 편하게 관리하고자 하면

   http://oops.org 김정균님 홈페이지에서 oops-firewall 관련해서 찾아보기바랍니다~

  무척간단하고 관리하기 편합니다 ^^;

  ex) oops-firewall

      /etc/oops-firewall/user.conf --------------------------------

    %-A INPUT -s 차단할ip -p tcp --dport 차단할포트 -j DROP

     ------------------------------------------------------------