웹마스터 팁

  2. Support
  3. 웹마스터 팁

fedora core4 기준으로 iptables 최소한 이정도는 막아줘야 할듯,,

2005.11.19 23:59

인호씨

#!/bin/bash


########## CONFIG ##########

IPT="/sbin/iptables"    // iptables 라는 글자를 IPT로 줄였습니다.
MYIP="210.123.94.21"   // 자신의 아이피 주소를 입력하시면 됩니다.

########## base rule ##########   // 기본적인 구성이구요..

$IPT -F
$IPT -t nat -F
$IPT mangle -F
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -o lo -j ACCEPT
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

########## TCP-flags ##########  // SYN와 ACK 그 외 URG나 FIN 등 위조신호를 막기위한 구축입니다..

$IPT -A INPUT -p TCP --tcp-flags ACK,FIN FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL NONE -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL PSH,FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL URG,PSH,FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,ACK,FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,FIN,PSH -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,FIN,RST -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,FIN,RST,PSH -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,FIN,ACK,RST -j DROP
$IPT -A INPUT -p TCP --tcp-flags ALL SYN,ACK,FIN,RST,PSH -j DROP
$IPT -A INPUT -p TCP --tcp-flags FIN,RST FIN,RST -j DROP
$IPT -A INPUT -p TCP --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A INPUT -p TCP --tcp-flags ACK,PSH PSH -j DROP
$IPT -A INPUT -p TCP --tcp-flags ACK,URG URG -j DROP

########## STATE ########## // state 쪽 방화벽 구축입니다.

$IPT -A INPUT -m state --state INVALID -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

########## source address packet filter ##########  // 쓰지않는 대역폭에 대한 위조신호 방지 방화벽 구축입니다..
##### myip #####
$IPT -A INPUT eth0 -s $MYIP -j DROP
##### A class #####
$IPT -A INPUT eth0 -s 10.0.0.0/8 -j DROP
##### B class #####
$IPT -A INPUT eth0 -s 172.16.0.0/12 -j DROP
##### C class #####
$IPT -A INPUT eth0 -s 192.168.0.0/16 -j DROP
##### D class #####
$IPT -A INPUT eth0 -s 224.0.0.0/4 -j DROP
##### E class #####
$IPT -A INPUT eth0 -s 240.0.0.0/5 -j DROP
##### loop back source address #####
$IPT -A INPUT eth0 -s 127.0.0.0/8 -j DROP

########## RESERVED IP area ##########  // 이미 예약된 ip 대역으로서 이런 아이피라면 위조된 신호이므로 방화벽을 구축했습니다.
$IPT -A INPUT -i eth0 -s 0.0.0.0/8 -j DROP
$IPT -A INPUT -i eth0 -s 169.254.0.0/16 -j DROP
$IPT -A INPUT -i eth0 -s 192.0.2.0/24 -j DROP
$IPT -A INPUT -i eth0 -s 248.0.0.0/5 -j DROP

저의 경우에는 이것을 default.firewall 이라고 저장을 해서
/etc/rc.d/init.d 에 저장을 해두고
cp 명령어를 이용하여
cp /etc/rc.d/init.d/default.firewall /etc/rc.d/rc3.d/S100d.firewall

S 가 무슨 역할을 하시는지는 아실거라 믿고
암튼 이렇게 해서 터미널창에서 reboot 시키시고 나면
iptables -L
하시면 적용된것이 나올겁니다.

p.s. 만약 방화벽을 전부다 내리고 싶으실때는
본인이 저장한 경로의 파일을 삭제해 주시고 reboot 시키시면 됩니다.
질문은 리플로 주세요~
이 게시물을
수정 삭제
좋아요
목록
제목 글쓴이 날짜
[초보자용] 노프레임 이해하고 만들기 [16] zeroMD™ 2003.06.05
개미선 없애기.. [10] -크크크- 2003.06.04
무심코 지나치기 쉬운 인푸트(input)폼에 대한 몇가지들.... [4] RedEye(rinja) 2003.05.23
CSS파일이용하여 링크에 건반효과주기(강력추천) [8] 호호짱 2003.05.23
onload 두개 사용하려고 할때... [5] chosun815 2003.05.20
세계인구와 한국인구 구하기 애플릿 소스 [3] TimeMode 2003.05.19
동영상이 로딩될때까지 이미지 보여주기 [8] ZipShin 2003.05.19
더블클릭으로 웹문서 새로고침 하기 [3] RedEye 2003.05.09
HTML 암호화시킨것 풀어주는소스(암호화도가능) [11] 호호짱 2003.05.06
쭘식 메뉴만들기 - 세로 슬라이드 메뉴 [11] file 쭘's 2003.04.29
label태그 아십니까? [6] ZipShin 2003.04.27
이미지 테두리에 점선 두르기 [6] ZipShin 2003.04.15
textarea 세로 글쓰기 [1] ZipShin 2003.04.15
[html 초보용] 홈페이지 무작정 따라하기!② [3] file 깻잎사랑=_=v 2003.04.14
[html 초보용] 홈페이지 무작정 따라하기!① [6] file 깻잎사랑=_=v 2003.04.14
textbox의 값을 오른쪽부터 채우기. [1] RedEye 2003.04.12
새창뜨는 링크 누를때 스크롤바 고정시키기 [8] REAL 2003.04.09
이미지 링크로 사용하다가 짤렸을때 대체 이미지 [6] REAL 2003.04.09
링크 클릭시 사운드 효과 [3] REAL 2003.04.09
[re] 링크 클릭시 사운드 효과 [헤헤~ 더 간단하게] [5] RedEye 2003.04.13
태그 쓰기