.gif&blockId=11b00c82-b138-8050-a58b-dcbceda2ef8f)
회사 내부망(오피스) 네트워크에서 방화벽 원격제어를 가능하게 해라. SSH허용하는데 관리자(관리자PC는 192.168.100.200)가 아닌 내부망 PC에서는 로그를 기록하라. 또한, 텔넷은 관리자 PC에서만 접속 가능하게 하고 모든 텔넷 접근 시도를 로그로 기록하라. 기본 정책은 차단이다.
오피스 → 방화벽 ssh허용
내부망 pc 로그
텔넷 관리자 pc - 텔넷 접근 시도 로그
기본 정책 차단.
iptables -A INPUT -m conntrack --ctstate INVALID -j LOG --log-prefix "[INVALID]"
iptables -A INPUT -m conntrack --ctstate INVALID -j LOG -j DROP
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -i eth1 -s [ip or 네트워크대역]
iptables -A INPUT -p tcp --dport 22 -i eth1 ! -s 192.168.100.200 -j LOG --log-prefix "[NoAdmin_SSH_Conn]"
iptables -A INPUT -p tcp --dport 22 -i eth1 -s 192.168.100.0/24 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -o eth1 -d 192.168.100.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 23 -j LOG --log-prefix "[TELNET_Conn]"
iptables -A INPUT -p tcp --dport 23 -i eth1 -s 192.168.100.200 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 23 -o eth1 -d 192.168.100.200 -j ACCEPT
Shell
복사
정책 백업 및 복구
•
iptables-save > iptables.sh
•
iptables-restore < iptables.sh
iptables -A OUTPUT -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT
iptalbes -A OUTPUT -p tcp —dport 22 -o eth2 -d 192.168.200.200 -j ACCEPT
iptables -A FORWARD -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT
