블로그 이미지
초딩입맛제주아재
하고 싶은 것만 하며 살고 싶다

calendar

1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
2006. 9. 22. 09:41 LINUX

특정 IP 접속제한/거부 하기( route, iptable, oops-firewall )


출근직후 서버이상유무점검을 하다보면 message, secure 로그를 비롯한 각종로그에

비정상적인 방법으로 접속을 시도하는 아이피가 있다.

이외에도 특정아이피에 대해서 접속을 차단하고자 여러방법을 찾아봤다.


1. tcp wrapper ( /etc/hosts.deny, /etc/hosts.allow )

  일반적으로 원격접속(ssh), 파일전송(FTP) 서비스를 관리자의 특정아이피에 한해서

  개방하는데서  사용한다. ( 물론 필자도 이런용도로 사용중 )

  그리고 tcp wrapper 는 inetd 를 이용한 tcpd 데몬에 한한다.


  ex) a.b.c.d 아이피 차단

  /etc/hosts.deny -----------------------

  ALL : a.b.c.d 

  ----------------------------------------

  ALL : tcpd 를 이용하는 모든서비스


  ex) a.b.c.d 아이피 허용 ( sshd 데몬만 )

  /etc/hosts.allow -----------------------

  sshd : a.b.c.d

  ----------------------------------------



2. route 이용 ( 포트나 서비스 관계없이 모두 거부 )


  #route add -host 차단할ip reject    ; 차단될아이피를 추가

  #route ; 차단된 아이피 확인 / 차단된 경우 Flags 가 H! 로 표시됨

 

  - 하지만 route 명령을 이용해서 차단하면 패킷은 일단 받아들이고

     응답을 제한하는 것이라서 비효율적임.



3. iptable 이용 ( 가장 합리적인 방법이라 생각함; )

  iptable을 이용하면 가장능동적이게 처리할수있다.


   #iptables -A INPUT -s 차단할ip -p tcp --dport 차단할포트 -j DROP


  명령어로 등록할수있고..

  영구적으로 등록하기위해서는 rc.local 같은 부팅스크립트파일에 등록해줘야한다.


   조금더 쉽고 편하게 관리하고자 하면

   http://oops.org 김정균님 홈페이지에서 oops-firewall 관련해서 찾아보기바랍니다~

  무척간단하고 관리하기 편합니다 ^^;


  ex) oops-firewall

      /etc/oops-firewall/user.conf --------------------------------

    %-A INPUT -s 차단할ip -p tcp --dport 차단할포트 -j DROP

     ------------------------------------------------------------


'LINUX' 카테고리의 다른 글

서버 시간 맞추기  (2) 2007.01.22
시스템 정보 확인하기  (0) 2006.11.10
Yum  (0) 2006.09.17
X윈도우에서 Consol로  (0) 2006.09.17
메일 계정만 접속가능하도록 설정  (0) 2006.09.08
posted by 초딩입맛제주아재