리눅스 분류
브리지 방화벽구축에 관해서 ^-^/
작성자 정보
- 전희억 작성
- 작성일
컨텐츠 정보
- 2,262 조회
- 1 댓글
- 0 추천
- 목록
본문
외부망 -> (eth0)브릿지방화벽(eth1) - 내부망
이렇게 해서 외부망에서 내부망으로 자료를 찾아서 통신이 되게 했습니다.
iptable로 필터링도 되더군요
그런데 iptable은 IP나 프로토콜을 기준으로 필터링 밖에 안되는거 맞죠?
음 -_-ㅋ... 혹시 패킷을 전부 검사(바이러스 같은거)해서 필터링 하는 방법은 없는건지
궁금해서 이렇게 여쭈어 봄니다.
snort를 쓰면 잘못된패킷을 확인은 하는데 걸러 주지는 못하는거 같더군요.
음 방법이 없나요 (--)(__)(--)/
관련자료
-
이전
-
다음
댓글 1
이경록님의 댓글
- 이경록
- 작성일
안녕하세요~ 저도 희억님처럼 브릿지방화벽을 구축해서 테스트 중인 초보 리눅서
입니다. 저는 CentOS 4.4 server버전을 설치해서 커널을 컴파일하고 tarball소스로
된iptables와 patch-o-matic-ng(iptables의 확장팩???)를 다운받아 설치해서 사용중
입니다. 물론 지금은 룰 설정 때문에 고생하고 있지만요.
patch-o-matic-ng은 iptables의 일반적인 룰설정 기능에 string이라던지 국가별
제한이라던지 시간별설정등을 가능하게 해주는 유용한 툴입니다. 희억님도 자료를
찾거나 혹은 오늘과내일의 홍석범님께서 쓰신 '리눅스 서버 보안관리 실무' 책을
보시면 설치법이 잘 설명되어 있습니다. 님께서 필터링 하고픈것은 patch-o-matic-ng
의 STRING검색을 통해 패킷의허용유무를 결정하고프신것 같습니다.
아울러 STRING 필터기능을 이용한 싸이월드 차단룰의 예를 한번 적어봅니다.
iptables -A FORWARD -m string --string "cyworld" -j DROP
위 룰은 말 그대로 패킷의 내용을 검사해서 드랍하므로 네이버같은 검색엔진에서의"cyworld"라는 검색어 조차 허용되지않습니다.
더 자세히 하기위해 지금은 시간대별 설정을 통해 싸이월드같은 업무에 지장을
주는 사이트의 접근을 테스트 중입니다.
저도 희억님의 답답한 마음 조금이나마 이해하기에 이렇게 답변 드립니다.
잘못된 부분이나 부족한 점 있으시면 지적 부탁드립니다.
입니다. 저는 CentOS 4.4 server버전을 설치해서 커널을 컴파일하고 tarball소스로
된iptables와 patch-o-matic-ng(iptables의 확장팩???)를 다운받아 설치해서 사용중
입니다. 물론 지금은 룰 설정 때문에 고생하고 있지만요.
patch-o-matic-ng은 iptables의 일반적인 룰설정 기능에 string이라던지 국가별
제한이라던지 시간별설정등을 가능하게 해주는 유용한 툴입니다. 희억님도 자료를
찾거나 혹은 오늘과내일의 홍석범님께서 쓰신 '리눅스 서버 보안관리 실무' 책을
보시면 설치법이 잘 설명되어 있습니다. 님께서 필터링 하고픈것은 patch-o-matic-ng
의 STRING검색을 통해 패킷의허용유무를 결정하고프신것 같습니다.
아울러 STRING 필터기능을 이용한 싸이월드 차단룰의 예를 한번 적어봅니다.
iptables -A FORWARD -m string --string "cyworld" -j DROP
위 룰은 말 그대로 패킷의 내용을 검사해서 드랍하므로 네이버같은 검색엔진에서의"cyworld"라는 검색어 조차 허용되지않습니다.
더 자세히 하기위해 지금은 시간대별 설정을 통해 싸이월드같은 업무에 지장을
주는 사이트의 접근을 테스트 중입니다.
저도 희억님의 답답한 마음 조금이나마 이해하기에 이렇게 답변 드립니다.
잘못된 부분이나 부족한 점 있으시면 지적 부탁드립니다.
