내가 관리하는 데비안서버에서는 WEB과 FTP를 돌리고 있었다.
전문적인 관리자가 아닌지라 자주 보안업데이트를 해 주는 것도 아니고, 보안에 대해서 그렇게 잘 안다고 할 수는 없었다.
그렇지만 언제나 골치아픈 중국아닌가....
그래서 나는 특정대역외의 IP에서는 아예 접근을 하지 못하게 하고 싶었다.
이런 때 유용한 것이 iptables 패키지였다.
# more /etc/init.d/iptables.sh
=========================================================================
#!/bin/sh
case "$1" in
start)
echo "iptables start"
iptables-restore /etc/iptables.conf
;;
stop)
echo "iptables stop"
iptables -F
iptables -t nat -F
;;
restart)
echo "iptables stop"
iptables -F
iptables -t nat -F
echo "iptables start"
iptables-restore /etc/iptables.conf
;;
esac
exit 0
debian:/etc# iptables-save -t > iptables.conf
debian:/etc# more /etc/iptables.conf
=========================================================================
# Generated by iptables-save v1.2.11 on Mon Oct 23 13:43:39 2006
*filter
:INPUT ACCEPT [416:26453]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [409:229792]
-A INPUT -i lo -j ACCEPT
#ntp allow
-A INPUT -p udp --dport 123 -j ACCEPT <==서버의 시간을 동기화하기 위해 ntp포트는 허용했다.
#대역 허용
-A INPUT -s xxx.1.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s xxx.2.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s xxx.3.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s xxx.3.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s xxx.4.0.0/255.255.0.0 -j ACCEPT
-------------중략------------------- <==실제로 사용되는 IP대역을 추가하면된다.
#그외 차단
-A INPUT -i eth0 -j DROP
COMMIT
# Completed on Mon Oct 23 13:43:39 2006
======데몬추가======
# chmod a+x /etc/init.d/iptables.sh
# /etc/init.d/iptables.sh restart
# update-rc.d iptables.sh defaults
======확인======
# iptables -L
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:ntp
ACCEPT 0 -- xxx.1.0.0/16 anywhere
ACCEPT 0 -- xxx.2.0.0/16 anywhere
ACCEPT 0 -- xxx.3.0.0/16 anywhere
ACCEPT 0 -- xxx.4.0.0/16 anywhere
DROP 0 -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# iptables -L -v <==실제 적용예이다.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3 286 ACCEPT 0 -- lo any anywhere anywhere
2544 193K ACCEPT udp -- any any anywhere anywhere udp dpt:ntp
-------------------------중략--------------------------
70006 38M DROP 0 -- eth0 any anywhere anywhere <==DROP된 패킷 수
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 324K packets, 49M bytes)
pkts bytes target prot opt in out source destination
주) 국내에 할당된 IP대역은 한국인터넷진흥원에서 알 수 있었다. 아마도 이런 할당 IP대역을 사용하여 다양한 룰 적용이 가능할 것이다.
IP대역을 안다고 해도 RULE로 만들어 넣는 것은 쉬운 일은 아니었다. ㅜ_ㅜ 인터넷진흥원에서 시작IP~끝IP 이런 식으로 관리하고 있어서, 일일히 변환해야 했다.
댓글을 달아 주세요
보이스피싱 ㅎㅎ
ISP인척하고 개인정보요구하는거 나타나면 대박이겠군요,,,
정말 보이스피싱 지긋지긋합니다.그렇지만 개인정보를 요구하는 것 자체가 논리에 맞지 않으므로 설마.....
요새는 보이스피싱전화가 오면 9번 누르고 계속 듣고 있지요. 지네들이 나한테 들인시간 만큼 사기치기 힘들고 돈도 들테니까요...
국내 사이트 어디가 공격당한건지는 모르시나요? 개인정보 유출이 걱정되는지라 확인 좀 해봐야 할것 같긴한데....이미 늦은건가?
1차(22개 사이트),2차(16개 사이트),3차(7개 사이트) 정도로 알려지고 있습니다. DDoS공격을 당한 사이트에 대해서는 개인정보 유출 걱정은 안 하셔도 됩니다. 공격에 대한 대응을 하는 과정에서 허점이 생길 수 있다고 하지만 일단은 우려입니다. 그것보다는 보안이 취약해서 이번에 공격에 이용된 개별 좀비PC들에 대한 개인정보유출걱정이 더 클 것입니다.
전 홈뱅킹 공인인증서는 꼭 usb에 저장을 합니다..
그리고 요즘 보험회사하고 연결이 되는 사이트가 많아서 약관 잘 읽어봐야 할 것 같아요....
USB에 저장하기도 해야겠지만 읽어버릴 때도 대비해야 합니다. 내 USB가 누군가의 손에 들어가서 내용을 바로 볼 수 있다면 그것도 문제지요..