경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
편집을 취소할 수 있습니다.
이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 |
당신의 편집 |
77번째 줄: |
77번째 줄: |
| == 예제 == | | == 예제 == |
|
| |
|
| === 특정 IP 및 IP 대역 차단 === | | === IP 차단 === |
| (참고) IDS/IPS나 WAF로부터 악성 공격을 일삼는 IP를 차단하는 경우 C 클래스 대역을 통째로 차단해주는 것을 권장한다. (특히 해외 IP인 경우) | | (참고) IDS/IPS나 WAF로부터 악성 공격을 일삼는 IP를 차단하는 경우 C 클래스 대역을 통째로 차단해주는 것을 권장한다. (특히 해외 IP인 경우) |
|
| |
|
97번째 줄: |
97번째 줄: |
| </pre> | | </pre> |
|
| |
|
| * 차단 정책 추가 시 코멘트(주석)를 추가해서 기록을 남겨주는 것이 좋다.
| |
| <pre class="shell">
| |
| # iptables -A INPUT -s 192.168.10.0/24 -j DROP -m comment --comment "bruteforce ip 20240516"
| |
| </pre>
| |
|
| |
| * 앞단에 방화벽이나 LB가 있는 경우 X-Forwarded-For IP를 기준으로 해야 하는 경우도 있다.
| |
| <pre class="shell">
| |
| # iptables -A INPUT -m string --string "x-forwarded-for: 111.222.333.444" --algo bm --icase -j DROP
| |
| </pre>
| |
|
| |
| * X-Forwarded-For를 쓸 때 대역으로 차단하고 싶다면 여기선 서브넷이 아닌 일부 IP만 적어야 한다. 문자열 일치 기준으로 검사하기 때문
| |
| <pre class="shell">
| |
| # iptables -A INPUT -m string --string "x-forwarded-for: 111.222.333" --algo bm --icase -j DROP
| |
| </pre>
| |
|
| |
| === 기본 차단, 인터페이스별 포워딩 ===
| |
| * '''예제 조건'''<ref>http://q.fran.kr/문제/6515 리눅스마스터 1급 1501 실기 기출문제</ref> | | * '''예제 조건'''<ref>http://q.fran.kr/문제/6515 리눅스마스터 1급 1501 실기 기출문제</ref> |
| ** 패킷은 거부 메시지 없이 무조건 거절한다. (DROP) | | ** 패킷은 거부 메시지 없이 무조건 거절한다. (DROP) |