'iptables'에 해당되는 글 2건

  1. 2009.06.05 국가별 사용 IP대역 알아내기 (1)
  2. 2009.05.23 데비안 iptables 사용하기(IP 선별 허용)

텍스트큐브의 기능중에 하나가 유입로그를 볼 수 있다는 점인데, 덕분에 어떤 검색어로 내 블로그를 방문하는 지 알 수 있다는 점이다.


가끔 가다 찍히는 검색어가 "중국 IP"라는 검색어인데, 내 블로그에서는 리눅스(데비안)의 iptables 사용법에 관한 글로 유입된다.

참고: 2009/05/23 - [IT/리눅스 TIP] - 데비안 iptables 사용하기(IP 선별 허용)

내가 운영하는 데비안 서버도 iptables를 사용하여 특정대역의 IP외에는 모두 막아두었다.


 "중국 IP"라는 검색어가 종종 유입되는 것을 보면, 어쩌면 동일한 이유로 특정대역(중국외에도 여러 대역이 있을 수 있다.)을 막아놓을 필요성이 있어서 그런 지도 모르겠다. 아니면 유입IP를 보고 어느 국가인 지 알고 싶을 경우도 있고.....


어쨌든 그럴 때 쉽게 사용할 수 있는 웹사이트를 하나 발견했다.


바로가기: http://www.countryipblocks.net/

원문사이트 소개(일부분):
Country IP Blocks began with the idea that all network administrators, webmasters and individuals, should have the power to decide who gets through your electronic door. Does your local network really need to allow access to hackers located 12,000 miles away from you? You have the power to decide whether to accept or deny internet traffic into your website or network. Whether you decide to block the current Group of Ten or develop your own Access Control Lists, Country IP Blocks provides you with the information resources necessary to block or allow internet traffic from the countries you choose.

웹사이트 화면:



 이 홈페이지의 좋은 점은 IP정보를 사용하기 쉽도록 여러 포맷으로 출력해 준다는 점이다. CIDR형식,넷마스크,IP Range 등의 여러 포맷으로 바로 뽑아볼 수 있다..


원문:

Our data is country specific (soon to include continents) and comes in seven different formats:CIDR, Netmask, IP Range, .htaccess deny, .htaccess allow, Decimal/CIDR and Hex/CIDR. We can also custom format the data to meet your specific needs.

주1) 한국인터넷 진흥원의 자료는 국내의 ISP별로도 IP할당 내역을 알 수 있지만 IP Range로만 볼 수 있기 때문에 리눅스의 iptables에서 사용하기 전에 일일이 변환과정을 거쳐야 했다.


주2) 위 홈페이지가 없어질 경우를 대비해 중국에서 사용중인 대역을 미리 복사해 놓는다.
  

중국대역:  

 

 한국대역:

'IT > 네트워크' 카테고리의 다른 글

윈도우 route 명령 사용법  (0) 2009.06.15
WireShark 매뉴얼  (0) 2009.06.07
국가별 사용 IP대역 알아내기  (1) 2009.06.05
XP ipconfig 명령 사용법  (0) 2009.06.03
cisco장비 인터페이스 정보들  (0) 2009.05.21
cisco configuration register  (0) 2009.05.21
Posted by novice9

댓글을 달아 주세요

  1. Favicon of http://essaywritingstore.com BlogIcon buy term paper 2015.03.13 16:49  댓글주소  수정/삭제  댓글쓰기

    관리자의 승인을 기다리고 있는 댓글입니다

내가 관리하는 데비안서버에서는 WEB과 FTP를 돌리고 있었다.


전문적인 관리자가 아닌지라 자주 보안업데이트를 해 주는 것도 아니고, 보안에 대해서 그렇게 잘 안다고 할 수는 없었다.


그렇지만 언제나 골치아픈 중국아닌가....


그래서 나는 특정대역외의 IP에서는 아예 접근을 하지 못하게 하고 싶었다.


이런 때 유용한 것이 iptables 패키지였다.


# more /etc/init.d/iptables.sh 
=========================================================================
#!/bin/sh
case "$1" in
start)
echo "iptables start"
iptables-restore /etc/iptables.conf
;;
stop)
echo "iptables stop"
iptables -F
iptables -t nat -F
;;
restart)
echo "iptables stop"
iptables -F
iptables -t nat -F
echo "iptables start"
iptables-restore /etc/iptables.conf
;;
esac

exit 0

 

 

debian:/etc# iptables-save -t > iptables.conf

debian:/etc# more /etc/iptables.conf

=========================================================================

# Generated by iptables-save v1.2.11 on Mon Oct 23 13:43:39 2006
*filter
:INPUT ACCEPT [416:26453]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [409:229792]
-A INPUT -i lo -j ACCEPT
#ntp allow
-A INPUT -p udp --dport 123 -j ACCEPT        <==서버의 시간을 동기화하기 위해 ntp포트는 허용했다.
#대역 허용
-A INPUT -s xxx.1.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s xxx.2.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s xxx.3.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s xxx.3.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s xxx.4.0.0/255.255.0.0 -j ACCEPT

  -------------중략-------------------   <==실제로 사용되는 IP대역을 추가하면된다.
#그외 차단

-A INPUT -i eth0 -j DROP

COMMIT
# Completed on Mon Oct 23 13:43:39 2006

 


======데몬추가======

# chmod a+x /etc/init.d/iptables.sh
# /etc/init.d/iptables.sh restart
# update-rc.d iptables.sh defaults

======확인======

# iptables -L
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ntp
ACCEPT     0    --  xxx.1.0.0/16       anywhere
ACCEPT     0    --  xxx.2.0.0/16       anywhere
ACCEPT     0    --  xxx.3.0.0/16       anywhere

ACCEPT     0    --  xxx.4.0.0/16       anywhere

DROP       0    --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


# iptables -L -v    <==실제 적용예이다.

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    3   286 ACCEPT     0    --  lo     any     anywhere             anywhere
 2544  193K ACCEPT     udp  --  any    any     anywhere             anywhere          udp dpt:ntp
   -------------------------중략--------------------------

70006   38M DROP       0    --  eth0   any     anywhere             anywhere   <==DROP된 패킷 수

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destinationChain OUTPUT (policy ACCEPT 324K packets, 49M bytes)
 pkts bytes target     prot opt in     out     source               destination

 

 

주) 국내에 할당된 IP대역은 한국인터넷진흥원에서 알 수 있었다. 아마도 이런 할당 IP대역을 사용하여 다양한 룰 적용이 가능할 것이다.

 

참고사이트: http://ip.nida.or.kr/

IP대역 참고: http://ip.nida.kr/main.html 에서 IPv4/국내 IPv4주소 목록 혹은 관리대행자별 IPv4주소 목록


IP대역을 안다고 해도 RULE로 만들어 넣는 것은 쉬운 일은 아니었다. ㅜ_ㅜ 인터넷진흥원에서 시작IP~끝IP 이런 식으로 관리하고 있어서, 일일히 변환해야 했다.

Posted by novice9

댓글을 달아 주세요

이전버튼 1 이전버튼

블로그 이미지
이 블로그는 삽질을 기록하는 곳입니다. ^_^
novice9
텍스트큐브,티스토리 검색

달력

 « |  » 2018.02
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28      

최근에 받은 트랙백

글 보관함

Yesterday160
Today49
Total2,360,169