Metalbird 의 좁은 새장

여태껏 했던 iptables에 비해 ubuntu 방화벽은 너무 단순하면서도 심플하다.

세부 설정이 더있는지는 모르겠지만 ufw 하나로 다 해결 (sudo 제외)

[방화벽 켜기]

#ufw enable

[방화벽 끄기]

#ufw disable

[allow 규칙 - 포트/프로토콜]

#ufw allow [port]/[protocol]

ex> ufw allow 22/tcp

ex> ufw allow 80/udp

[deny 규칙 - 포트/프로토콜]

#ufw deny [port]/[protocol]

ex> sudo ufw deny 8080/tcp

[규칙 제거]

#ufw delete [allow or deny] [port]/[protocol]

ex> #ufw delete allow 3306/tcp 

[외부 ip block]

#ufw deny from [ipaddress]

[ufw 상태 조회]

#ufw status

drop같은 규칙이 없어 좀 불편하나 iptables랑 조합하여 사용하면 될듯. 간단하다.

[전부 deny]

# iptables -F

# iptables -X

# iptables -P INPUT DROP

# iptables -P FORWARD DROP

# iptables -P OUTPUT DROP

[루프백]

# iptables -A INPUT -i lo -j ACCEPT

# iptables -A OUTPUT -o -lo -j ACCEPT

iptables [-t table] command [match] [target\jump]

[커맨드 파라메터] 

-A(--append)                : 규칙 추가

-N(--new-chain)           : 체인 생성

-X(--delete-chain)         : 체인 제거

-P(--policy)                   : 체인 정책

-L(--list)                        : 체인 조회

-F(--flush)                      : 체인 규칙 초기화

-Z(--zero)                      : 체인내의 모든 규칙의 패킷과 바이트의 카운트를 0으로 초기화

-D(--delete)                    : 규칙 삭제

-R(--replace)                  : 규칙 대체

-I(--insert)                      : 체인 규칙 삽입

-E(--rename-chain)         : 체인 이름 변경

[용어설명]

INPUT : 로컬로 들어오는 패킷(입력 패킷)

FORWARD : INPUT와 OUTPUT 역할, 라우터에 방화벽을 적용할 때 쓰임

OUTPUT : 외부로 나가는 패킷(출력 패킷)

[자주사용하는정책]

(허용 정책 설정)

 - 루프백 접속 허용

#iptables -A INPUT -i lo -j ACCEPT

#iptables -A OUTPUT -o lo -j ACCEPT

 - 내부 네트워크 접속

#iptables -A [OS] -s [ip address]/24 -d [ip address]/24 -j ACCEPT

#iptables -A OUTPUT -s [ip address]/24 -d [ip address]/24 -j ACCEPT

방화벽 내부 -> 외부 

#iptables -A [OS] -s [external ip address] -p tcp -m tcp --sport [port] -j ACCEPT

#iptables -A OUTPUT -d [external ip address] -p tcp -m tcp --dport [port] -j ACCEPT

 - DNS 포트 허용

#iptables -A [OS] -p udp -m udp --sport 53 -j ACCEPT

#iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

  - ICMP 허용 (ping)

#iptables -A OUTPUT -o eth0 -p icmp --icmp-type echo-request -j ACCEPT

#iptables -A [OS] -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT

#iptables -A OUTPUT -o eth0 -p icmp --icmp-type echo-reply -j ACCEPT

  - SSH 포트 허용 

#iptables -A [OS] -s [allow ip address] -p tcp -m tcp --sport 22 -j ACCEPT

#iptables -A OUTPUT -d [allow ip address] -p tcp -m tcp --dport 22 -j ACCEPT

  - HTTP 포트 허용

#iptables -A [OS] -i eth0 -p tcp -m tcp --sport 80 --dport 1024:65535 -j ACCEPT

#iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT

  - FTP 포트 허용

#iptables -A [OS] -i eth0 -p tcp -m tcp --sport 21 --dport 1024:65535 -j ACCEPT

#iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT

*FTP Active mode. data port (tcp20)

#iptables -A [OS] -i eth0 -p tcp -m tcp --sport 21 --dport 1024:65535 -j ACCEPT

#iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT

*FTP Passive mode. data port(tcp 1024 more)

#iptables -A [OS] -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT

#iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT

방화벽 외부 -> 내부

 - SSH

#iptables -A [OS] -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

#iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT

 - http

#iptables -A [OS] -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT

#iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT

 - ftp (Passive mode)

#iptables -A [OS] -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT

#iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 21 -j ACCEPT

#iptables -A [OS] -i eth0 -p tcp -m tcp --dport 1024:65535 -j ACCEPT

#iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 -j ACCEPT

우선 설치

sudo apt-get install vsftpd

그리고 설정

/etc/vsftpd.conf

[추가]

chroot_list_enable=YES 

chroot_list_file=/etc/vsftpd/chroot_list 

[주석]

#chroot_local_user=YES 

[저장-종료]

제한할 유저 설정

[생성, 편집]

vi /etc/vsftpd/chroot_list

데몬 재실행

오늘 날짜 변수 지정 - TODAY=`date '+%Y%m%d'`

날짜+시간 변수 지정 - DAY_TIME=`date '+%Y%m%d%H%M'`

폴더 없을 때 생성

mkdir -p [folder]

Virtual box 로 Ubuntu12.04 사용 중 DNS가 자꾸 초기화 되어 인터넷이 끊어지는 현상 발생

/etc/resolv.conf 에 dns서버를 설정해도 재부팅 또는 네트워크 재시작 시 초기화 되는현상

알아보니 재시작시 초기화 되는 기능이 동작함

몇가지 방법 시도후 간단한 방법 메모

#sudo vi /etc/network/interfaces 

>

auto eth0

iface eth0 inet static

address xxx.xxx.xxx.xxx

netmask 255.255.255.0

gateway xxx.xxx.xxx.1

broadcast xxx.xxx.xxx.255

dns-nameservers yyy.yyy.yyy.yyy zzz.zzz.zzz.zzz

xx - 고정ip (유동일시 다른방법적용)

yy - 네임서버

zz - 보조네임서버

$sudo passwd root

//슈퍼유저 권한으로 명령, root에 password를 부여하라

현재계정 비밀번호 입력,

root비밀번호 입력 (설정안된경우)

재입력

//변경완료

스크립트

# for x in {1..4}; do ln -s /mnt/sdb1/$x /srv/$x; done

결과물

$ ln -s /mnt/sdb1/1 /srv/1

$ ln -s /mnt/sdb1/2 /srv/2

$ ln -s /mnt/sdb1/3 /srv/3

$ ln -s /mnt/sdb1/4 /srv/4

ln [옵션] [링크파일]

자주쓰는 옵션

 -s 심볼릭 링크 (없을시 하드링크)

 -ld 링크확인

*unlink [파일명] 링크해제

*하드링크 : 원본이 사라져도 무관

메뉴얼

  --backup[=CONTROL]      make a backup of each existing destination file

  -b                          like --backup but does not accept an argument
  -d, -F, --directory         allow the superuser to attempt to hard link
                                directories (note: will probably fail due to
                                system restrictions, even for the superuser)
  -f, --force                 remove existing destination files
  -n, --no-dereference        treat destination that is a symlink to a
                                directory as if it were a normal file
  -i, --interactive           prompt whether to remove destinations
  -s, --symbolic              make symbolic links instead of hard links
  -S, --suffix=SUFFIX         override the usual backup suffix
  -t, --target-directory=DIRECTORY  specify the DIRECTORY in which to create
                                the links
  -T, --no-target-directory   treat LINK_NAME as a normal file
  -v, --verbose               print name of each file before linking
      --help     이 도움말을 표시하고 끝냅니다
      --version  버전 정보를 출력하고 끝냅니다