문제: 리눅스 시스템 커널버전2.4에서 제공하는 방화벽 (iptables)을 이용하여
호스트기반 방화벽을 구축하려한다. 이때에 보안정책은 모든 들어오는 패킷에
대해서 drop시키는 것을 원칙으로하고, 일부 허용된 패킷에 대해서만
통과시키는 것이다. 이에 필요한 /etc/sysconfig/iptables의 설정을 완성시키시오.
현재 허용되는 패킷은 IP주소에 관계없이 destination port 가 22/tcp (ssh) 인
것으로 한정되어 있으며, 여기에 80/tcp (www)를 추가하시오.
http://unix.co.kr/HOWTO/Packet_Filtering-KLDP/Packet_Filtering-KLDP-6.html 참조 함.
_____
/ \
-->[ 라우팅 ]--->|포워딩 |------->
[ 판 정 ] \_____/ ^
| |
v ____
___ / \
/ \ | 출력 |
|입력 | \____/
\___/ ^
| |
----> Local Process ----
- 패킷이 커널에 도탁하면 그 패킷의 목적지를 확인한다. 이것은 '라우팅' 이라고 한다.
- 이것의 목적지가 이곳이면, 패킷은 위 그림에서 아래쪽 방향으로 전달 되어 입력 체인에 도달한다. 이것이 이 체인을 통과하면 패킷을 기다리 고있던 어떤 프로세서도 그것을 받게 된다.
- 그렇지 않으면, 커널이 포워딩 불능으로 되어있던가, 패킷을 어떻게 포 워딩해야 하는가를 알지 못하면, 그 패킷은 DROP 된다. 포워딩이 가능하 게 되어있고 다른 곳이 목적지이면 패킷은 그림의 오른쪽 방향으로 전달 되어 포워딩 체인으로 간다. 이 체인이 ACCEPT 하게 되면 이것은 포워딩 할 네트워크로 보내진다.
- 마지막으로, 이곳에서 돌아가던 프로그램은 네트워크 패킷을 전송할 수 있 게 된다. 이 패킷은 즉시 출력 체인에 보내진다. 이 체인이 ACCEPT 하게 되면 이 패킷은 그 목적지가 어디든지 보내진다.
풀이 :
#vi /etc/sysconfig/iptables
여기에 22번 포트 만 허용해 놓았는데
-A INPUT -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p tcp -m tcp --dport 80 -j ACCEPT
라고 적어주자
iptables의 사용법에 대해서는 좀더 공부가 필요한듯..
'예전것 > 네트워크 보안' 카테고리의 다른 글
| 네트워크 해킹과 보안: 10장 - 연습문제/심화연습문제 (0) | 2009.07.13 |
|---|---|
| ARP, RARP, ICMP (0) | 2009.07.03 |
| 중급: IP 정보제한을 위한 zone transfer 설정문제 (0) | 2009.05.27 |
