내가찾은 신대륙 넥스트라인

제목	Oops-firewall 설치 및 사용방법

첨부파일	Oops-firewall 설치 및 사용방법.pdf	작성일	2008-09-18 12:13:54

작성자 : 기술지원부 홍 종 우 shairin@nextline.net

Oops-firewall 설치 및 사용방법

(1) Oops-firewall 이란
안녕 리눅스의 개발자 김정균님의 Netfilter 기능을 이용한 패킷 필터링 프로그램으로 Kernel 2.4이상의 iptables라는 패키지를 사용합니다. .

김정균님의 홈페이지
http://oops.org/
Oops-firewall 상세 매뉴얼
http://oops.org/?t=lecture&s=firewall

(2) Oops-firewall 설치 방법
cenos 4.6 넥스트라인 ks 패키지의 경우 http://www.nextline.net/usr_img/parted/usb/Oops-firewall을 설치하기 위해서는 의존성 문제로 bridge-utils가 설치되어 있어야 합니다.

①bridge-utils가 설치 되어 있는지 확인 합니다.
#rpm –qa |grep bridge

②bridge-utils가 설치가 되어 있지 않다면 yum install 등을 이용하여 시스템에 설치를 합니다.
#yum install bridge-utils

③wget을 이용하여 oops.org ftp에서 최신버전의 Oops-firewall을 다운로드 합니다..
# wget ftp://mirror.kr1.oops.org/pub/AnNyung/1.0/nostack/OOPS/RPMS/Oops-firewall-6.2.4-1.noarch.rpm

④다운받은 rpm을 설치 합니다.
# rpm -Uvh -firewall-6.2.4-1.noarch.rpm

(3)설치시 생성되는 파일 목록 및 실행 방법

①Oops-firewall을 rpm버전으로 설치 하였을 시 시스템에 기본적으로 다음의 경로에 파일들이 설치가 됩니다.
/etc/Oops-firewall/interface.conf     - firewall 설정 파일(ethernet 설정파일)
/etc/Oops-firewall/application.conf   - firewall 설정 파일(특정 기능 설정파일)
/etc/Oops-firewall/bridge.conf        - firewall 설정 파일(Bridge 기능 설정파일)
/etc/http://www.nextline.net/usr_img/parted/usb/Oops-firewall/filter.conf        - firewall 설정 파일(패킷 필터링 설정파일)
/etc/Oops-firewall/masq.conf          - firewall 설정 파일(공유 기능 설정파일)
/etc/Oops-firewall/forward.conf       - firewall 설정 파일(포트 포워딩 설정파일)
/etc/Oops-firewall/tos.conf           - firewall 설정 파일(고급 기능 설정파일)
/etcOops-firewall/user.conf          - firewall 설정 파일(사용자 정의 설정파일)
/etc/Oops-firewall/modules.list       - Oops-firewall 구동시 같이 올릴 netfilter module
/etc/rc.d/init.d/Oops-firewall        - 부팅시 실행할 init file
/usr/sbin/Oops-firewall               - firewall 구동 sctip
/usr/include/Oops-firewall/*.h        - firewall 의 함수 정의
/usr/include/Oops-firewall/config.sed - config file parse script
/usr/share/locale/ko/LC_MESSAGES/Oops-firewall.mo - i18N 언어 파일

②Oops-firewall을 ntsysv에 등록하여 시스템이 가동될 때 자동으로 가동이 되도록 합니다.
#ntsysv

③필요에 따라 Oops-firewall 데몬을 수동으로 작동 시킬 수 있습니다.
Oops-firewall 시작
#/etc/rc.d/init.d/Oops-firewall start

Oops-firewall 중단
#/etc/rc.d/init.d/Oops-firewall stop

Oops-firewall 재시작

#/etc/rc.d/init.d/Oops-firewall restart

(4)기본적인 포트 필터링 설정파일 /etc/Oops-firewall/filter.conf 파일 설정방법

*Vi 편집기 등을 이용하여 /etc/Oops-firewall/filter.conf 파일을 원하는 내용으로 수정을 한 후 Oops-firewall을 가동 합니다.

*/etc/Oops-firewall/filter.conf 에서 아이피 또는 포트등을 입력할때 구분자는 공백 문자 또는 \로 라인이동을 합니다.

Ex) 1.1.1.1 2.2.2.2. 3.3.3.3 4.4.4.4 또는
\ 2.2.2.2 \
3.3.3.3 \
4.4.4.4

①자신의 서브넷상에 있는 서버들에 대해 모든 서비스 open
ALLOWSELF = 1 ## (디폴트)
ALLOWSELF = 0 ## 수정 권장

②모든서비스를 허용할 아이피 또는 네트워크
ALLOWALL = ## 서버에 모든 서비스를 허용할 아이피를 입력합니다.

③모두 열어줄 포트 설정
TCP_ALLOWPORT = ## 상기 옵션에 해당하지 않는 곳에서 모두 오픈해 줄 TCP 포트를 지정합니다. (외부에서 내부)

④특정 호스트의 특정 TCP 포트 오픈 설정
TCP_HOSTPERPORT = ## 특정 호스트에서 특정 TCP 포트만 허락할시 입력합니다 EX)192.168.1.1호스트에 대해 22번 TCP 포트만 수락 할 시 192.168.1.1:22

⑤모두 열어줄 UDP 포트 설정
UDP_ALLOWPORT = ## 모두 오픈해 줄 UDP 포트를 지정 합니다. (외부에서 내부)

⑥특정 호스트의 특정 UDP 포트 오픈 설정
UDP_HOSTPERPORT = ## 특정 호스트의 특정 UDP 포트만 허락할 시 입력 합니다.

⑦특정 호스트에 ping 허용 여부 설정
ICMP_HOSTPERPING = ## 상기 옵션에 적용된 아이피외에 ping을 허용할 호스트를 입력합니다.

⑧로그의 처리 여부 설정
USE_LOG = ## /var/log/messages에 로그를 남기려면 1 남기지 않으려면 0을 입력 합니다.

⑨외부 서비스 이용을 위한 TCP 포트 설정
OUT_TCP_ALLOWPORT = ## 서버에서 외부의 TCP포트를 이용하기 위한 설정으로 허용할 포트를 입력 합니다. (내부에서 외부)

⑩외부 서비스 이용을 위핸 UTP 포트 설정
OUT_UDP_ALLOWPORT = ## 서버에서 외부의 UTP포트를 이용하기 위한 설정으로 허용할 포트를 입력 합니다. (내부에서 외부)

(5) 특정 아이피를 서버에 접근하지 못하도록 차단하는 방법
/etc/Oops-firewall/user.conf 파일은 oops firewall에서 제공하지 않는 iptables 룰을 등록하기 위한 파일이며 특정 iptables 룰을 적용하기 위해서 사용할 수 있습니다.
Oops-firewall 설정 전에 iptables 룰을 설정하기 위해서는 iptables 대신 %를 사용 하며 Oops-firewall 설정 이후에 추가하여 iptables 룰을 적용하기 위해서는 @로 대체합니다.
하기 명령어는 특정 아이피를 서버에 접근하지 못하도록 완전히 차단 합니다.
@-A INPUT -t filter -s 아이피 -j DROP


	SELINUX


	MS-SQL injections 공격 대처하기