ipfw 설치 및 룰 > 에필로그

본문 바로가기

ipfw 설치 및 룰

페이지 정보

작성자 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 에필로그 댓글 0건 조회 3,614회 작성일 19-05-29 12:24

본문

FreeBSD 8, 9, 11, 12

웹서버
NIC 이름은 em0인 경우 예
ipfw은 커널의 기본 모듈이다. *커스터마이징하려면 커널을 컴파일한다.
 
sysrc firewall_enable="YES" *부팅시 ipfw 사용
sysrc firewall_type="simple" *simple은 네트워크 보호 모드
sysrc firewall_script="/etc/ipfw.rules" *룰 정의
sysrc firewall_logging="YES" *로깅, 로그 부담시 사용하지 않아도 무방
echo "net.inet.ip.fw.verbose_limit=5" >> /etc/sysctl.conf *로그 파일 크기 제한
sysrc firewall_logif="YES" *ipfw0 이름으로 로깅하는 경우다. 사용하지 않아도 무방, 기록되는 로그의 확인은 tcpdump -t -n -i ipfw0
ee /etc/ipfw.rules
#!/bin/sh
# 초기화
ipfw -q -f flush
# 변수
cmd="ipfw -q add"
pif="em0"
# 기타
$cmd 00100 check-state
$cmd 00101 allow ip from any to any via lo0
$cmd 00102 allow icmp from any to any out via $pif keep-state
$cmd 00103 allow icmp from any to any in via $pif
$cmd 00104 allow tcp from any to any dst-port 37 out via $pif setup keep-state
$cmd 00105 allow udp from any to any dst-port 123 out via $pif keep-state
$cmd 00106 deny log ip from any to any out via $pif
# 일부 네트워크, 포트, 조각패킷 차단
$cmd 00107 deny ip from 192.168.0.0/16 to any in via $pif
$cmd 00108 deny ip from 172.16.0.0/12 to any in via $pif
$cmd 00109 deny ip from 10.0.0.0/8 to any in via $pif
$cmd 00110 deny ip from 127.0.0.0/8 to any in via $pif
$cmd 00111 deny ip from 0.0.0.0/8 to any in via $pif
$cmd 00112 deny ip from 169.254.0.0/16 to any in via $pif
$cmd 00113 deny ip from 192.0.2.0/24 to any in via $pif
$cmd 00114 deny ip from 204.152.64.0/23 to any in via $pif
$cmd 00115 deny ip from 224.0.0.0/3 to any in via $pif
$cmd 00116 deny tcp from any to any dst-port 113 in via $pif
$cmd 00117 deny tcp from any to any dst-port 137 in via $pif
$cmd 00118 deny tcp from any to any dst-port 138 in via $pif
$cmd 00119 deny tcp from any to any dst-port 139 in via $pif
$cmd 00120 deny tcp from any to any dst-port 81 in via $pif
$cmd 00121 deny ip from any to any frag in via $pif
$cmd 00122 deny tcp from any to any established in via $pif
# DNS 조회
$cmd 00200 allow tcp from me to any dst-port 53 out via $pif setup keep-state
$cmd 00201 allow udp from me to any dst-port 53 out via $pif keep-state
# 웹이용
$cmd 00202 allow tcp from me to any dst-port 80 out via $pif setup keep-state
$cmd 00203 allow tcp from me to any dst-port 443 out via $pif setup keep-state
# SMTP 발송
$cmd 00204 allow tcp from me to any dst-port 25 out via $pif setup keep-state
$cmd 00205 allow tcp from me to any dst-port 465 out via $pif setup keep-state
$cmd 00206 allow tcp from me to any dst-port 587 out via $pif setup keep-state
# 웹서비스
$cmd 00207 allow tcp from any to me dst-port 80 in via $pif setup limit src-addr 3
$cmd 00208 allow tcp from any to me dst-port 443 in via $pif setup limit src-addr 3
# SSH, FTP 단속
$cmd 00300 deny ip from table\(22\) to any
$cmd 00301 allow tcp from any to me dst-port 22 in via $pif setup limit src-addr 2
$cmd 00302 allow tcp from any to me dst-port 21 in via $pif setup limit src-addr 10
$cmd 00303 allow tcp from any to me dst-port 35021-35120 in via $pif setup limit src-addr 10
# 나머지 모두 차단 및 로깅
$cmd deny log ip from any to any in via $pif
service ipfw start
sysctl net.inet.ip.fw.verbose_limit=5 *재부팅하지 않고 적용

댓글목록

등록된 댓글이 없습니다.

에필로그 340건/20페이지
에필로그 목록
번호 제목 글쓴이 조회 날짜
55 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3191 10-07
54 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3552 10-07
53 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3277 07-03
52 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3314 06-25
51 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3700 06-25
50 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3277 06-22
49 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3978 04-08
48 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3942 04-08
47 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3690 04-08
46 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3686 04-08
45 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3434 04-08
44 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3343 04-08
43 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3696 05-31
열람중 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3615 05-29
41 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3614 05-25
게시물 검색
[문의] 전화 : 0707-443-0499 메일 : t8@t8.co.kr [분야] Linux, Unix, Windows DNS, 웹, WAS, 역방향프록시, 앱 SQL, 메일, 스트리밍, CDN SMB/CIFS, FTPs, NFS, AFP IKEv2, OpenVPN, WireGuard 대범위 DHCP, WiFi 종속포털, AAA DDoS 우회/분산, 랜섬웨어 대비 장애/재난/해킹시스템 복구 서비스/P2V 마이그레이션 XSS/웹쉘/인젝션/백도어 제거 서버 업그레이드/교체/이전 주문/맞춤/복합/간이서버 제작 특별/희귀/생소한 시스템 상담/구현 문제해결 외

Copyright © T8. All rights reserved.