국가별 아이피 차단 가이드

작성자 : 기술지원팀 백철현
작성일 : 2009년 2월 20일

가이드 소개
급증하는 웹 해킹과 침해사고, DDOS 공격 때문에 서비스에 장애가 많으신 분들은 IPTALBES를
활용하여 침해사고를 예방할 수가 있습니다. DDOS 공격도 또한 마찬가지 입니다.
중국에서 한 크래커가 사이트를 공격을 위해서 준비 할 때, 웹사이트를 먼저 확인하고 공격을
시도 할 것입니다.
그러나, 공격전에 미리 중국으로부터의 접속을 막고 있다면, 일단 어느 정도의 공격받을 확률은
줄였다고 할 수가 있습니다.
리눅스 커널, iptables, geoip 설치와 더불어 iptables 의 룰셋 적용부분에 대한 가이드 입니다.
마지막 부분에서는 iprange 모듈을 활용한 약간 무식한 방법도 소개하겠습니다.

필요한 설치 팩키지

운영체제 : CentOS 5.2 Final 커널 2.6.18.8 버전 ( ftp://ftp.kernel.org/pub/linux/kernel/v2.6/linux-2.6.18.8.tar.bz2 ) Iptables 1.3.8 버전 ( ftp://ftp.iptables.org/pub/iptables/iptables-1.3.8.tar.bz2 ) Patch-o-matic-ng ( ftp://ftp.iptables.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20080101.tar.bz2) Csv2bin (http://people.netfilter.org/peejix/geoip/tools/csv2bin-20041103.tar.gz) Geoip (http://www.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip)

위에 언급된 프로그램을 시스템의 /usr/src / 에 다운받아서 압축을 풀어줍니다.
다운로드 된 프로그램은 아래와 같습니다.


GeoIP 부터 설치를 하겠습니다. Csv2bin 과 GeoIPCountryCSV.zip의 압축을 아래와 같이 풀어줍니다.


GeoIPCountryWhois.csv 파일과 csv2bin 디렉토리가 생성되었습니다. Csv2bin 디렉토리로 이동하여
make 명령으로 컴파일을 합니다. 또는 gcc –o csv2bin csv2bin.c 로 컴파일 해도 됩니다.


Csv2bin 실행파일이 위와같이 생성되었다면 shell 에서 ./csv2bin ../GeoIPCountryWhois.csv 를
실행합니다.


위에서 geoipdb.bin 데이터파일과 geoipdb.idx 인덱스 파일 2개가 생성됩니다.


위 2개의 파일을 /var/geoip 디렉토리를 만들고 그 디렉토리에 복사합니다.
설치가 완료되었다면 해당 파일들을 삭제하고 리눅스 커널 컴파일 준비를 하겠습니다.

Linux 커널과 iptables , patch-o-matic-ng 파일의 압축을 아래와 같이 풀어줍니다.


압축해제 후 linux 와 iptables 링크를 만듭니다.

patch-o-matic-ng-20080101 디렉토리로 이동합니다. 이동 후
./runme –download 명령을 내리세요

다운로드가 끝나면 아래와 같이 커널과 iptables의 디렉토리를 물어봅니다.
기본으로 엔터를 2번 치시면 됩니다.

Geoip 패치가 다운로드 되었습니다. 패치를 위해서 아래와 같이 명령을 내리면 됩니다.

디렉토리는 엔터를 2번 치면 됩니다. 엔터를 치고나면 아래와 같은 메시지가 나옵니다.
패치 적용화면 입니다. “y” 를 눌러주면 적용이 됩니다.


Y를 누른후 적용된 화면입니다. 커널과 iptables를 재컴파일 하라는 화면입니다.

다음은 커널을 컴파일 하기 위한 화면입니다.
Linux 디렉토리로 이동 후 /boot/config-2.6.18-92.e15 파일을 /usr/src/linux 로 복사합니다.

Make menuconfig 명령어를 사용하여 커널설정으로 들어갑니다.

Networking -à 옵션으로 들어갑니다.

Networking options -à 옵션으로 이동합니다.


[*]Network packet filtering (replaces ipchains) -à 옵션으로 이동합니다.


IP: Netfilter Configuration -à 옵션으로 이동해서 맨 아래로 커서를 내립니다.

< > geoip match support 항목에서 스페이스 바를 누르면 “M” 이 표기 됩니다.
M은 모듈로 선택되었다는 의미입니다. M 이 표기되는 것을 확인하고 계속해서 “Exit”를 누르고
빠져나옵니다. 메인 메뉴에서 Exit 를 누르면 설정을 저장할지를 물어봅니다.
Yes 를 선택해서 저장하도록 합니다.
저장이 되었으면 콘솔에서 아래와 같이 명령어를 주어서 커널 컴파일을 시작합니다.

커널 컴파일이 시작됩니다. 하드웨어 사양에 따라서 1시간 이상 걸릴수도 있습니다.
위 명령어를 다 실행하고 나면 부팅 순서를 변경해 줍니다.
/boot/grub/ 로 이동후 vi로 grub.conf 파일을 열어봅니다.       

커널을 컴파일하고 인스톨을 하면 부트 이미지는 맨위로 오게 됩니다.
따라서 default 옵션을 0으로 주면 컴파일한 커널로 부팅하게 됩니다.
Default=0

이제 iptables를 설치합니다.

위와 같이 /usr/src/iptables 디렉토리에서 make && make install를 치면 컴파일과 설치가 동시에
됩니다. 설치는 /usr/local/sbin/ 디렉토리에 바이너리가 설치됩니다.
라이브러리는 /usr/local/lib/iptables 에 설치가 됩니다.

설치가 끝난 후 재부팅을 해서 2.6.18.8 커널이 정상적으로 뜨는 것을 확인해 봅니다.
uname –a 로 확인할 수 있습니다.

이제 geoip 모듈 적용 화면입니다.

중국은 CN으로 표시되며 웹으로 접속하는 중국아이피를 차단하는 룰셋입니다.
이 룰셋을 가장 먼저 적용하고 싶으시면 아래와 같이 적용하시면 됩니다.

이 룰셋은 iptables에 룰셋이 존재할 때 첫라인에 입력하는 룰셋입니다.
가장 먼저 적용이 되고 적용되는 서버는 192.168.0.22번 서버로 들어오는 모든 중국아이피를
차단하는 룰셋입니다. 포트를 지정하지 않는 경우에는 모든 포트가 적용대상이 됩니다.

위와같이 US,CN 나라별로 콤마를 사용하여 중복적으로 나라들 리스트를 열거할 수가 있습니다.
2번줄 처럼 KR (한국) 이 아닌 경우는 모두 차단도 가능합니다.

아래의 경우에는 iprange 모듈을 활용한 방법입니다.

위에서 DATA 변수는 /usr/src/GeoIPCountryWhois.csv 파일이 존재해야 합니다.
또한 IPT 변수도 /usr/local/sbin/iptables 가 존재해야 합니다.

룰셋이 적용된 리스트 입니다. 중국 아이피만 차단하게 되면 759라인이 만들어 집니다.
여타 다른 나라를 막고 싶으면 GeoIPCountryWhois.csv 파일을 열어서 나라이름을 확인 후
스크립트에서 egrep “United States” ß 이렇게 나라를 표시하는 부분만 변경하시면
해당 국가를 차단하실수 있습니다.
또한 룰셋의 –j DROP 부분만 변경하시면 차단, 허용 조절 하실수 있습니다.