openvpn 관련 iptable 설정

무더운 날씨에 고생이 많으십니다...

실력도 미비한 저에게 회사에서 엄청난 압박을 가하는 관계로 이렇게 질문드려 봅니다.^^

openvpn 을 라우팅기반으로 셋팅하여 현재, 정상적으로 가동중에 있는데요...(이 모든것이 홍선생님 덕분입니다.^^)

아무래도, 보안이 걱정되어 홍선생님 저서를 바탕으로 iptable 스크립트를 작성해 보았습니다.

네트웍쪽에는 너무 잼병이라 서비스는 잘되고 있는데, 혹 누수(?)현상이나 잘못된 설정이

있는지 고수님의 검토좀 부탁드립니다.

책에는 기술되어 있는데 잘 이해가 가지않는(두려운) 부분은 실력이 부족한 관계로 생략한 상태입니다...--;

감사합니다. 그럼, 좋은 하루되세요...

시작------------------------------------------------------------------------------------------------

#!/bin/sh

IPTABLES="/sbin/iptables"
. /etc/init.d/functions

case "$1" in
start|restart)
             echo "$1ing firewall : [ OK ]"
             ;;
         stop)
             echo "$1ping firewall : [ OK ]"
             $IPTABLES -F
             $IPTABLES -X
             $IPTABLES -P INPUT ACCEPT
             $IPTABLES -P FORWARD ACCEPT
             $IPTABLES -P OUTPUT ACCEPT
             exit
             ;;
            *)
             echo $"Usage: $0 {start|restart|stop}"
             exit
             ;;
esac

# 룰셋 초기화
$IPTABLES -F

# 기본정책 설정
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

# Loopback/TUN 트래픽 허용
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i tun+ -j ACCEPT

# 상태추적 설정
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A INPUT -i eth0 -p all -m state --state INVALID -j DROP

# openvpn service
$IPTABLES -A INPUT -p udp --sport 1024: --dport 5000 -m state --state NEW -j ACCEPT

# ssh service
$IPTABLES -A INPUT -p tcp --sport 1024: --dport 8888 -m state --state NEW -j ACCEPT

# ftp service
$IPTABLES -A INPUT -p tcp --sport 1024: --dport 20 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1024: --dport 9999 -m state --state NEW -j ACCEPT

# ping service
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

-----------------------------------------------------------------------------끝