• StreamWorks를 내부 네트워크 사용자가 볼 수 있게 하려면?
  • RealAudio 혹은 RealVideo 혹은 RealPlayer를 내부 네트워크 사용자가 볼 수 있게 하려면?
  • 슈퍼유저(root) 권한을 얻으려면?
  • 로그(log) 파일을 정리하려면?
  • CyberGuard Firewall v3.x 이상에서 로그 파일을 정규적으로 삭제하는 방법은?
  • In-bound 웹 트래픽에 대한 프록시 설정 방법은?
  • 파일 시스템이 꽉차서 시스템이 오동작을 하거나 정지한 경우에 긴급 처방은?
  • 패치 방법은?

    Q.StreamWorks를 내부 네트워크 사용자가 볼 수 있게 하려면?

    A. CyberGuard Firewall의 패킷 필터링 규칙 윈도우(Packet Filtering Rule Window)를 열고 포트번호 1558번을 UDP타입으로 통과시켜 주면 된다.

    Type Service Packet Origin Packet Destination Options
    permit 1558/udp ALL_INTERNAL ALL_EXTERNAL Enable replies

    주의: StreamWorks는 서비스 프로토콜 특성 상 동적인 네트워크 주소 변환(Dynamic NAT) 기능을 이용하여 연결되는 시스템에 대해서는 패킷이 올바로 전달되지 못합니다. 따라서 내부 네트워크에 비공인 주소를 할당하고 외부 네트워크에 연결하는 경우 방화벽 등을 통해 동적인 NAT 기능을 이용하는 경우 StreamWorks를 이용할 수 없습니다. 단, 정적인 NAT를 이용하여 할당을 하는 경우 사용 가능합니다.



    Q. RealAudio 혹은 RealVideo 혹은 RealPlayer를 내부 네트워크 사용자가 볼 수 있게 하려면?

    A. CyberGuard Firewall의 패킷 필터링 규칙 윈도우(Packet Filtering Rule Window)를 열고 포트번호 7070번을 TCP타입으로 내부에서 외부로 연결되는 것을 열어주고, 포트번호 6970 ~ 7170번을 UDP타입으로 외부에서 내부로 들어올 수 있도록 열어주면 된다. 여기서 UDP포트를 외부에 노출 시키므로서 보안에 문제가 된다면 UDP포트를 막아도 RealAudio를 사용할 수 있지만 음질이 떨어지는 현상은 감수해야만 한다.

    Type Service Packet Origin Packet Destination Options
    permit 7070/tcp ALL_INTERNAL ALL_EXTERNAL  
    permit 6970/udp ALL_EXTERNAL ALL_INTERNAL Enable replies
    .... .... .... .... ....
    permit 7170/udp ALL_EXTERNAL ALL_INTERNAL Enable replies

    최근 발표된 RealPlayer의 경우에는 UDP포트를 하나로 지정하여 방화벽을 통해 서비스될 수 있도록 설정이 가능한데, 이 경우에는 RealPlayer의 Preferences메뉴에서 Transport 탭을 선택하고 UDP포트 하나를 지정해 주고 방화벽에서는 이 UDP포트만을 열어주면 좋은 음질과 화질를 사용할 수 있다.

    Type Service Packet Origin Packet Destination Options
    permit 7070/tcp ALL_INTERNAL ALL_EXTERNAL  
    permit 7070/udp ALL_EXTERNAL ALL_INTERNAL Enable replies

    * 관련 정보 : RealAudio사의 Firewall 관련 세팅 도움말(http://www.realaudio.com/help/firewall/)



    Q. 슈퍼유저(root) 권한을 얻으려면?

    A. Tools 메뉴에서 Shell Window 항목을 선택한다.
    아래와 같이 순서대로 입력한다.

    $ /sbin/tfadmin newlvl SYS_PRIVATE
    SYS_PRIVATE> su root
    Password: 슈퍼유저 암호 입력

    그러면 프롬프트가 '#'으로 바뀌면서 슈퍼유저가 될 수 있다. 일단 슈퍼유저가 되면 시스템의 모든 파일에 대한 접근권한을 획득하고, 슈퍼유저만 실행 가능한 프로그램을 사용할 수 있지만, 외부로 혹은 외부에서 슈퍼유저로 직접 네트워킹하는 것은 불가능 하다.



    Q. 로그(log) 파일을 정리하려면?

    A. CyberGuard Firewall 의 로그 파일은 아래 두 디렉토리에 저장된다.

    /var/audit
    /var/audit_log

    따라서 이 두 디렉토리로 들어가 파일명이 "Z"로 끝나는 파일은 시스템이 자동으로 압축을 하여 저장한 파일이므로 삭제하거나 백업을 하여 제거하면 된다.

    삭제를 위해서는 rm 명령으로 아래와 같이 입력한다(단, 삭제를 위해서는 슈퍼유저 권한이 있어야 함).

    rm 로그파일명.Z



    Q. CyberGuard Firewall v3.x 이상에서 로그 파일을 정규적으로 삭제하는 방법은?

    A.
    1. 먼저 Tools 메뉴에서 Shell Window 를 선택하여 xterm를 화면에 띄운다.

    2. 아래와 같이 입력하여 root 권한을 획득한다.

      /sbin/tfadmin newlvl SYS_PRIVATE SYS_PRIVATE> su - Password: #

    3. root 권한을 얻은 다음 아래와 같이 입력하여 퍼블릭 사용자 권한을 다시 얻은 후 CyberGuard 가 정해진 시간에 어떤 작업을 수행하게 할지 지정하기 위해 crontab -e 명령으로 cron 테이블을 편집한다.

      # /sbin/tfadmin newlvl USER_PUBLIC USER_PUBLIC> VISUAL=vi USER_PUBLIC> export VISUAL USER_PUBLIC> crontab -e

    4. CyberGuard 의 cron 테이블은 아래와 같은 양식을 가지고 있다.

      분 시 일 월 요일 실행할쉘명령어

      만일 매주 토요일 밤 11:00 에 압축되 있는 로그 파일을 자동 삭제하고 싶다면 아래와 같이 편집하면 된다.

      0 23 * * 6 /sbin/rm /var/audit/*.Z &

      만일 매주 일요일 새벽 4:00 에 1주일 이상 지난 로그 파일을 자동 삭제하고 싶다면 아래와 같이 편집하면 된다.

      0 4 * * 0 /usr/bin/find /var/audit -mtime +7 -exec rm {} \;

      요일은 0을 일요일로 시작하여 6이 토요일을 나타내며, 일과 월은 모두 숫자로 표기된다. 즉, 1월은 1, 2월은 2 와 같다.

    5. 마지막으로 수정한 cron 테이블을 저장하기 위해 ESC 키를 누른 다음 wq를 입력한 후 Enter 키를 누른다.
    6. Shell Window 를 닫고 해당 시간이 지나면 원하는 작업이 자동으로 실행이 됐는지 확인한다.



    Q.In-bound 웹 트래픽에 대한 프록시 설정 방법은?

    A.
    1. 데스크탑에서 Proxies 를 선택한다.
    2. HTTP proxy 를 선택하고 아래에 나열한 항목을 체크한다.
      • Enable Proxy Service
      • Inbound To Firewall
      • Update Packet-Filter Rules
    3. Setup 탭을 누르고 아래 나열한 항목을 선택한다.
      • Web Server Handler : Independent
      • Port Number : 내부 웹 서버의 포트번호 (일반적으로 80)
      • External Attempt Timeout : 40
      • Authenticate outbound : No
    4. Servers 탭을 누르고 아래 나열한 항목을 선택한다.
      • Web Server : 내부 웹서버의 IP 주소 (내부 웹서버 주소가 비공인 주소인 경우 비공인 주소를 지정)
      • Allow post : 체크
      • Allow put : 체크
      • Allow delete : 체크
    5. Save 한 후 Use 버튼을 누름.
    6. 실제 외부 사용자가 내부 웹서버를 CyberGuard 프록시를 통해 접근하는 과정은 아래와 같다.
      • 웹 브라우저를 실행한다.
      • CyberGuard의 외부 인터페이스 주소와 HTTP proxy의 Setup에서 지정한 포트 번호로 URL을 지정한다.
        예) http://203.251.112.253:8100

    # 주의: 만일 CyberGuard 주소로 지정했지만 포트 번호가 틀리 다면 CyberGuard 가 HTML로된 접근거부 메시지를 출력한다.



    Q. 파일 시스템이 꽉차서 시스템이 오동작을 하거나 정지한 경우에 긴급 처방은?

    A. CyberGuard Firewall 은 파일 시스템이 꽉차면 자동으로 싱글모드로 들어가 네트워크를 차단하고 자기 방어 모드로 전환된다. 하지만, 운영자가 네트워크 이벤트에 대해 로그(log)를 남기도록 설정한 경우에는 비록 CyberGuard Firewall이 자동으로 자기 방어 모드로 전환이 되더라도 여전히 root 권한으로 로그를 남기기 때문에 파일 시스템이 꽉차서 시스템이 오동작을 하거나 정지해 버리는 응급상황이 발생할 수도 있다.

    이러한 경우에는 운영자가 직접 시스템을 정지한 후 재부팅하여 응급처치를 수행하기 위한 싱글모드로 들어가 로그 파일이나 기타 파일 시스템을 크게 잡아 먹는 파일을 삭제해 주어야 한다. 이러한 응급처치 방법은 아래와 같다.

    1. 일단 CyberGuard Firewall에 연결된 네트워크 선을 뽑는다. (즉, CyberGuard Firewall 하드웨어 뒷면에 있는 이더넷 포트를 뽑는다. 네트워킹으로 인한 더이상의 악영향을 방지하기 위함)

    2. GUI 가 화면에 나타나 있는 경우:

      Shell Window 를 띄운 다음 아래와 같이 입력한다.

      
           /sbin/tfadmin newlvl SYS_PRIVATE
           SYS_PRIVATE> su -
           Password: 슈퍼유저암호입력
           #
           # sycn; sync; sync; shutdown -y now
      

      를 입력하여 시스템을 정지 시키고, 시스템이 정지되면 시스템의 전원을 내렸다가 다시 전원을 올린다.

      GUI 가 죽고, 콘솔상의 텍스트 모드로 떠 있는 경우:

      Enter 키를 여러번 누르면 로그인 프롬프트가 뜨는데 여기서 cgadmin 혹은 FSO 권한을 가진 다른 ID를 입력한 후 암호를 입력하면 $ 프롬프트가 나타난다. 그 다음 아래와 같이 입력한다.

      
           $ su -
           Password: 슈퍼유저암호입력
           # sycn; sync; sync; shutdown -y now
      
      만일 로그인 프롬프트도 화면에 나타나지 않는다면, 최악의 경우를 대비해 백업을 해둔 것이 있는지 확인 한 후 CyberGuard Firewall의 전원을 내렸다. 다시 전원을 올린다.

    3. CyberGuard Firewall 이 다시 부팅이 되면서 부팅 후 약 30초후 아래와 같은 메시지가 화면 제일 상단에 나타나면 Spacebar 를 누른다.

      
           Booting CyberGuard Firewall...
      

      그러면 아래와 같이 프롬프트가 나타나게 된다.

      
           Entering BOOT in interactive session... [? for help]
           [boot] #
      

    4. '[boot] #' 프롬프트에서 아래와 같이 차례로 입력한다.

      
           [boot] # INITSTATE=1
           [boot] # KERNEL=mUNIX
           [boot] # go
      

    5. 시스템이 다시 계속 부팅과정을 진행하게 되는데 부팅이 되면 시스템은 싱글 사용자 모드로 전환되어 로그인 프롬프트가 화면에 나타난다. 여기서 cgadmin 혹은 FSO 권한을 가진 사용자 ID를 입력한 후 해당 암호를 입력한다.

    6. 다시 슈퍼유저 권한을 위해 아래와 같이 입력한다.

      
           $ su -
           Password: 슈퍼유저암호입력
           #
      

    7. 이제 시스템에서 응급처치를 위한 준비가 다 되었다. 아래 명령을 입력하여 로그 파일이 있는 디렉토리로 이동한다.

      
           # cd /var/audit
      

    8. ls 명령을 사용하여 적당한 파일을 rm 명령으로 삭제한다. 만일 30일 이상 지난 파일을 삭제하고자 하는 경우 아래와 같이 입력 하면 된다.

      
           # find /var/audit -mtime +30 -exec rm {} \;
      

    9. 'df -k' 명령을 사용하여 /var 파티션이 충분한 여유공간이 확보 되었는지 확인한 후 아래 명령을 사용하여 시스템을 재부팅 한다.

      
           # sycn; sycn; sync; shutdown -y now
      

    10. 만일 /var/audit_log 디렉토리에도 불필요한 로그 파일이 많이 쌓여 있는 경우 과정 8부터 반복한다.



    Q. 패치 방법은?

    1. 먼저 cgadmin 이외에 FSO(Firewall System Officer) 자격을 가진 시스템 계정이 있는지 확인한 후 데스크 탑 화면에서 Tools 메뉴를 선택한다.
    2. Shell Window 를 실행한 후 아래 명령 입력한다.

      $ /sbin/tfadmin newlvl SYS_PRIVATE
      SYS_PRIVATE> su
      Password: (암호입력)
      # /sbin/tfadmin newlvl NETWORK
      NETWORK> chmod 777 .
      NETWORK> ftp ftp.nuri.net
      ftp> cd /cyberguard/patch/unix

    3. 자신의 시스템에 맞는 패치 파일을 다운로드 한다.
    4. 압축을 풀기 위해 아래 명령을 입력한다(예: 패치파일 P4x0p5.Z을 다운로드한 경우).

      NETWORK> uncompress P4x0p5.Z

    5. 패치 파일을 적당한 파일 양식으로 변환하기 위해 아래 명령을 입력한다.

      NETWORK> chmod 777 /var/spool/pkg
      NETWORK> pkgtrans /home/cginet/network/P4x0p5 /var/spool/pkg P4x0p5

    6. 데스크 탑의 메뉴 System을 선택한 후 'Shutdown System and Reboot'를 선택한다.
    7. 시스템이 재부팅 되는 과정 중에 아래 메시지가 나오면 를 누른다.

      Booting CyberGuard Firewall [Hit any key in 5 seconds to cancel]
      [boot]#

    8. 시스템 관리 모드로 들어가기 위해 아래 명령을 입력한다.

      [boot]# KERNEL=mUNIX
      [boot]# INITSTATE=1
      [boot]# go

    9. 로그인 프롬프트가 나타나면 FSO 자격을 가진 아이디(예: cginet)으로 로그인 한다.
    10. 슈퍼유저 권한을 얻기 위해 아래 명령을 입력한다.

      $ su -
      Password: (암호 입력)

    11. 변환된 패치 파일을 이용해 실제 패치를 수행하기 위해 아래 명령을 입력한다.

      # pkgadd P4x0p5

    12. 패치가 완료되면 아래 명령을 통해 시스템 서비스 모드로 전환한다.

      # init 6

    13. 패치는 끝나고 CyberGuard 시스템이 부팅된다.


  • Copyright(c) PSINet Korea Inc. All right reserved. inoc@kr.psi.net




    Copyright(c) 2001, 수퍼유저코리아 All Rights Reserved.
    서버구축(운용)상담 : e-mail : webmaster@superuser.co.kr