게시판 즐겨찾기
편집
드래그 앤 드롭으로
즐겨찾기 아이콘 위치 수정이 가능합니다.
방화벽 설정 관련해서 좀 봐주실 수 있을까요?
게시물ID : programmer_21478짧은주소 복사하기
작성자 : 밝은달사랑
추천 : 0
조회수 : 503회
댓글수 : 2개
등록시간 : 2017/10/07 04:00:40
옵션
  • 본인삭제금지
파일 공유용으로 쓰는 PC의 방화벽 로그에 특정 로그가 미친듯이 쌓여서
로그에 나온 그대로 허용을 해봤는데 그래도 로그가 쌓여서 어떻게 설정을 변경해야하는지 알고 싶습니다.

구성환경은 우분투 16.04 LTS 입니다.
192.168.0.132가 우분투 PC의 IP이고 192.168.0.24는 주로 SSH로 접속하는 PC, 192.168.0.100은 시놀로지 NAS 입니다.
vsftp, samba, apache, cups, transmission, plex, ssh 를 사용하고 있고 SSH 서비스 포트는 5554로 변경한 상태입니다.

방화벽 설정은 iptables 기본상태인 INPUT-DROP, FORWARD-DROP, OUTPUT-ACCEPT 입니다.
제가 건드린 부분은 INPUT 체인에 ESA-rule라고 체인을 넣어서 여기 로그가 저장되게 했는데요.
INPUT체인은 1) fail2ban 관련 체인 2) ESA-rule 체인 3) UFW 체인 순서로 등록되어 있고
ESA-rule 체인은 차단할 IP를 등록하고 UFW 체인에는 오픈할 서비스 포트를 등록했습니다.

다음이 /var/log/iptables에 미친듯이 쌓이는 로그 내용입니다.(날자와 시간은 지웠습니다.)
------------------------------------------------------------------------------------------------------------------------
ESA-Server kernel: [63707.330719] [ESA-rule]IN=enp2s0 OUT= MAC=00:1f:c6:83:43:ab:74:d4:35:53:4b:18:08:00 SRC=192.168.0.24 DST=192.168.0.132 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=25494 DF PROTO=TCP SPT=5916 DPT=5554 WINDOW=$(또는 DPT=9091)

ESA-Server kernel: [63907.900042] [ESA-rule]IN=enp2s0 OUT= MAC=01:00:5e:7f:ff:fa:90:9f:33:ba:3e:88:08:00 SRC=192.168.0.1 DST=239.255.255.250 LEN=294 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=37359 DPT=1900 LEN=274

ESA-Server kernel: [63927.414159] [ESA-rule]IN=enp2s0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:32:60:0e:d3:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=211 TOS=0x00 PREC=0x00 TTL=64 ID=34163 DF PROTO=UDP SPT=138 DPT=138 LEN=191

ESA-Server kernel: [63747.436292] [ESA-rule]IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.0.132 DST=192.168.0.132 LEN=372 TOS=0x00 PREC=0x00 TTL=64 ID=52482 DF PROTO=UDP SPT=42582 DPT=34630 LEN=352

ESA-Server kernel: [63828.432958] [ESA-rule]IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.255.255.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=34863 DF PROTO=UDP SPT=42937 DPT=32412 LEN=29
------------------------------------------------------------------------------------------------------------------------

ESA-rule의 설정은 다음과 같이 되어 있습니다.
------------------------------------------------------------------------------------------------------------------------
LOG       all   --  *        *   0.0.0.0/0                   0.0.0.0/0          limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[ESA-rule]"
ACCEPT   tcp  --  enp2s0   *   192.168.0.0/192.168.0.255  192.168.0.132      tcp spts:1024:65535 dpt:9091
ACCEPT   udp  --  enp2s0  *   192.168.0.132              192.168.0.255      udp spts:1024:65535 dpt:32412
ACCEPT   udp  --  enp2s0  *   192.168.0.132              239.255.255.255    udp spts:1024:65535 dpt:1900
ACCEPT   udp  --  lo       *   127.0.0.1                 127.255.255.255    udp spts:1024:65535 dpt:32412
ACCEPT   tcp   --  enp2s0  *   192.168.0.24               192.168.0.132      tcp spts:1024:65535 dpt:5554
ACCEPT   udp  --  lo       *    192.168.0.132            192.168.0.132       udp spts:1024:65535 dpts:1024:65535
ACCEPT   all   --  lo       *     0.0.0.0/0                 0.0.0.0/0
ACCEPT   icmp --  *       *    192.168.0.0/24             0.0.0.0/0
DROP      icmp --  *        *    0.0.0.0/0                0.0.0.0/0
[DROP     all   --  *        *    차단IP                    0.0.0.0/0]
RETURN   all   --  *        *    0.0.0.0/0                 0.0.0.0/0
------------------------------------------------------------------------------------------------------------------------
1    sudo iptables -I ESA-rule 1 -j LOG -m limit --limit '3/minute' --log-prefix [ESA-rule]
2    sudo iptables -I ESA-rule 2 -i enp2s0 -s 192.168.0.0/192.168.0.255 -d 192.168.0.132 -p tcp --sport 1024:65535 --dport 9091  -j ACCEPT
3    sudo iptables -I ESA-rule 3 -i enp2s0 -s 192.168.0.132 -d 192.168.0.255 -p udp --sport 1024:65535 --dport 32412  -j ACCEPT
4    sudo iptables -I ESA-rule 4 -i enp2s0 -s 192.168.0.132 -d 239.255.255.255 -p udp --sport 1024:65535 --dport 1900  -j ACCEPT
5    sudo iptables -I ESA-rule 5 -i lo -s 127.0.0.1 -d 127.255.255.255 -p udp --sport 1024:65535 --dport 32412  -j ACCEPT
6    sudo iptables -I ESA-rule 6 -i enp2s0 -s 192.168.0.24 -d 192.168.0.132 -p tcp --sport 1024:65535 --dport 5554  -j ACCEPT
7    sudo iptables -I ESA-rule 7 -i lo -s 192.168.0.132 -d 192.168.0.132 -p udp --sport 1024:65535 --dport 1024:65535  -j ACCEPT
8    sudo iptables -I ESA-rule 8 -i lo -p all -j ACCEPT
9    sudo iptables -I ESA-rule 9 -s 192.168.0.0/24 -p icmp -j ACCEPT
10   sudo iptables -I ESA-rule 10 -d 0.0.0.0/0 -p icmp -j DROP
11   sudo iptables -I ESA-rule 11 -s 차단IP -j DROP
END sudo iptables -A ESA-rule  -p all -j RETURN
------------------------------------------------------------------------------------------------------------------------

UFW체인에는 sudo ufw allow 5554/tcp 등으로 서비스 포트가 오픈했습니다.
어디를 어떻게 바꿔야 해당 로그가 저장되지 않을까요?
전체 추천리스트 보기
새로운 댓글이 없습니다.
새로운 댓글 확인하기
글쓰기
◀뒤로가기
PC버전
맨위로▲
공지 운영 자료창고 청소년보호