웹마스터 팁

  2. Support
  3. 웹마스터 팁

fedora core4 기준으로 iptables 최소한 이정도는 막아줘야 할듯,,

2005.11.19 23:59

인호씨

#!/bin/bash


########## CONFIG ##########

IPT="/sbin/iptables"    // iptables 라는 글자를 IPT로 줄였습니다.
MYIP="210.123.94.21"   // 자신의 아이피 주소를 입력하시면 됩니다.

########## base rule ##########   // 기본적인 구성이구요..

$IPT -F
$IPT -t nat -F
$IPT mangle -F
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -o lo -j ACCEPT
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

########## TCP-flags ##########  // SYN와 ACK 그 외 URG나 FIN 등 위조신호를 막기위한 구축입니다..

$IPT -A INPUT -p TCP --tcp-flags ACK,FIN FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL NONE -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL PSH,FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL URG,PSH,FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,ACK,FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,FIN,PSH -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,FIN,RST -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,FIN,RST,PSH -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,FIN,ACK,RST -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,ACK,FIN,RST,PSH -j DROP
$IPT -A INPUT -p TCP --tcp-flags FIN,RST FIN,RST -j DROP
$IPT -A INPUT -p TCP --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ACK,PSH PSH -j DROP
$IPT -A INPUT -p TCP --tcp-flags ACK,URG URG -j DROP

########## STATE ########## // state 쪽 방화벽 구축입니다.

$IPT -A INPUT -m state --state INVALID -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

########## source address packet filter ##########  // 쓰지않는 대역폭에 대한 위조신호 방지 방화벽 구축입니다..
##### myip #####
$IPT -A INPUT eth0 -s $MYIP -j DROP
##### A class #####
$IPT -A INPUT eth0 -s 10.0.0.0/8 -j DROP
##### B class #####
$IPT -A INPUT eth0 -s 172.16.0.0/12 -j DROP
##### C class #####
$IPT -A INPUT eth0 -s 192.168.0.0/16 -j DROP
##### D class #####
$IPT -A INPUT eth0 -s 224.0.0.0/4 -j DROP
##### E class #####
$IPT -A INPUT eth0 -s 240.0.0.0/5 -j DROP
##### loop back source address #####
$IPT -A INPUT eth0 -s 127.0.0.0/8 -j DROP

########## RESERVED IP area ##########  // 이미 예약된 ip 대역으로서 이런 아이피라면 위조된 신호이므로 방화벽을 구축했습니다.
$IPT -A INPUT -i eth0 -s 0.0.0.0/8 -j DROP
$IPT -A INPUT -i eth0 -s 169.254.0.0/16 -j DROP
$IPT -A INPUT -i eth0 -s 192.0.2.0/24 -j DROP
$IPT -A INPUT -i eth0 -s 248.0.0.0/5 -j DROP

저의 경우에는 이것을 default.firewall 이라고 저장을 해서
/etc/rc.d/init.d 에 저장을 해두고
cp 명령어를 이용하여
cp /etc/rc.d/init.d/default.firewall /etc/rc.d/rc3.d/S100d.firewall

S 가 무슨 역할을 하시는지는 아실거라 믿고
암튼 이렇게 해서 터미널창에서 reboot 시키시고 나면
iptables -L
하시면 적용된것이 나올겁니다.

p.s. 만약 방화벽을 전부다 내리고 싶으실때는
본인이 저장한 경로의 파일을 삭제해 주시고 reboot 시키시면 됩니다.
질문은 리플로 주세요~
이 게시물을
수정 삭제
좋아요
목록
제목 글쓴이 날짜
코어 수정 없이 스킨 수정만으로 게시판 목록에 유튜브,비메오 썸네일 출력 [2] foret 2014.02.23
스케치북5 모바일 댓글 작성시 엔터를 쳤을 때 <br /> 코드 뜨는 문제 해결 [7] oryan 2014.02.23
게시판 목록의 new 아이콘 바꾸기 [1] foret 2014.02.23
게시판 목록에서 새창 띄워서 다른 형태 나오게 하기 [3] foret 2014.02.23
위젯 게시판 선택시 다중선택하기 ! [2] file GomSang 2014.02.21
XE 1.7.4 "이메일 주소로 계정 찾기" 오류 해결 방법 꿈돌리 2014.02.20
누리고 쇼핑몰 모바일버전에서 백지화현상 수정하는 팁 [5] garnecia 2014.02.19
IEXPLORER 버젼 호환성 강제 맞추기 davidis 2014.02.18
1.7.4 버전용 한글 lang.xml 파일 [5] file 투씨 2014.02.18
1.7.4 용 youtube, vimeo, ted 썸네일 적용 document.item.php 수정방법 [9] file 남자인간 2014.02.17
우분투 12.04 LTS Nginx 최신버전 설치하기 [1] file 도라미 2014.02.17
카카오스토리 링크 [14] file 맞장 2014.02.15
"이 페이지 나가기" 경고창이 뜨는 사이트의 경우 [23] 투씨 2014.02.15
css 가운데정렬 완벽정리! 돼지코구뇽 2014.02.14
GNB 메뉴를 쉽게 만드는 jQuery plugin [2] 김개발 2014.02.14
css 배경이미지 정리 devdevpia 2014.02.13
이메일인증 Error 한방정리 참고해보세요. [4] 애드바이러스 2014.02.12
2014년 2월 12일부터 갑자기 사이트(관리자 페이지)가 깨지는 경우. 새하나모 2014.02.12
글쓰기를 클릭하면 띄워지는 테두리 없는 예쁜 팝업 띄우기 core. 1.7.4 [4] file 마음의빈자리 2014.02.11
마우스드래그금지 레치에스 2014.02.11
태그 쓰기