작성자 : 기술지원부홍종우 shairin@nextline.net Oops-firewall 설치및사용방법 (1) Oops-firewall 이란 안녕리눅스의개발자김정균님의 Netfilter 기능을이용한패킷필터링프로그램으로 Kernel 2.4 이상의 iptables 라는패키지를사용합니다.. 김정균님의홈페이지 http://oops.org/ oops-firewall 상세매뉴얼 http://oops.org/?t=lecture&s=firewall (2) Oops-firewall 설치방법 cenos 4.6 넥스트라인 ks 패키지의경우 oops-firewall 을설치하기위해서는의존성문제로 bridge-utils 가설치되어있어야합니다. 1bridge-utils 가설치되어있는지확인합니다. #rpm qa grep bridge 2bridge-utils 가설치가되어있지않다면 yum install 등을이용하여시스템에설치를합 니다. #yum install bridge-utils
3wget 을이용하여 oops.org ftp 에서최신버전의 oops-firewall 을다운로드합니다.. # wget ftp://mirror.kr1.oops.org/pub/annyung/1.0/nostack/oops/rpms/oops -firewall- 6.2.4-1.noarch.rpm
4 다운받은 rpm 을설치합니다. # rpm -Uvh oops-firewall-6.2.4-1.noarch.rpm (3) 설치시생성되는파일목록및실행방법 1oops-firewall 을 rpm 버전으로설치하였을시시스템에기본적으로다음의경로에파일들 이설치가됩니다. /etc/oops-firewall/interface.conf - firewall 설정파일 (ethernet 설정파일 ) /etc/oops-firewall/application.conf - firewall 설정파일 ( 특정기능설정파일 ) /etc/oops-firewall/bridge.conf - firewall 설정파일 (Bridge 기능설정파일 ) /etc/oops-firewall/filter.conf - firewall 설정파일 ( 패킷필터링설정파일 ) /etc/oops-firewall/masq.conf - firewall 설정파일 ( 공유기능설정파일 ) /etc/oops-firewall/forward.conf - firewall 설정파일 ( 포트포워딩설정파일 ) /etc/oops-firewall/tos.conf - firewall 설정파일 ( 고급기능설정파일 )
/etc/oops-firewall/user.conf - firewall 설정파일 ( 사용자정의설정파일 ) /etc/oops-firewall/modules.list - oops-firewall 구동시같이올릴 netfilter module /etc/rc.d/init.d/oops-firewall - 부팅시실행할 init file /usr/sbin/oops-firewall - firewall 구동 sctip /usr/include/oops-firewall/*.h - firewall 의함수정의 /usr/include/oops-firewall/config.sed - config file parse script /usr/share/locale/ko/lc_messages/oops -firewall.mo - i18n 언어파일 2oops-firewall 을 ntsysv 에등록하여시스템이가동될때자동으로가동이되도록합니다. #ntsysv 3 필요에따라 oops-firewall 데몬을수동으로작동시킬수있습니다. Oops-firewall 시작
#/etc/rc.d/init.d/oops-firewall start Oops-firewall 중단 #/etc/rc.d/init.d/oops-firewall stop Oops-firewall 재시작 #/etc/rc.d/init.d/oops-firewall restart (4) 기본적인포트필터링설정파일 /etc/oops-firewall/filter.conf 파일설정방법 *Vi 편집기등을이용하여 /etc/oops-firewall/filter.conf 파일을원하는내용으로수정을 한후 oops-firewall 을가동합니다. */etc/oops-firewall/filter.conf 에서아이피또는포트등을입력할때구분자는공백문자 또는 \ 로라인이동을합니다. Ex) 1.1.1.1 2.2.2.2. 3.3.3.3 4.4.4.4 또는 1.1.1.1 \ 2.2.2.2 \ 3.3.3.3 \ 4.4.4.4 1 자신의서브넷상에있는서버들에대해모든서비스 open ALLOWSELF = 1 ## ( 디폴트 ) ALLOWSELF = 0 ## 수정권장 2 모든서비스를허용할아이피또는네트워크
ALLOWALL = ## 서버에모든서비스를허용할아이피를입력합니다. 3 모두열어줄포트설정 TCP_ALLOWPORT = ## 상기옵션에해당하지않는곳에서모두오픈해줄 TCP 포트를지정합 니다. ( 외부에서내부 ) 4 특정호스트의특정 TCP 포트오픈설정 TCP_HOSTPERPORT = ## 특정호스트에서특정 TCP 포트만허락할시입력합니다 EX)192.168.1.1 호스트에대해 22 번 TCP 포트만수락할시 192.168.1.1:22 5 모두열어줄 UDP 포트설정 UDP_ALLOWPORT = ## 모두오픈해줄 UDP 포트를지정합니다. ( 외부에서내부 ) 6 특정호스트의특정 UDP 포트오픈설정 UDP_HOSTPERPORT = ## 특정호스트의특정 UDP 포트만허락할시입력합니다. 7 특정호스트에 ping 허용여부설정 ICMP_HOSTPERPING = ## 상기옵션에적용된아이피외에 ping 을허용할호스트를입력합니다. 8 로그의처리여부설정 USE_LOG = ## /var/log/messages 에로그를남기려면 1 남기지않으려면 0 을입력합니다. 9 외부서비스이용을위한 TCP 포트설정 OUT_TCP_ALLOWPORT = ## 서버에서외부의 TCP 포트를이용하기위한설정으로허용할포트를 입력합니다. ( 내부에서외부 ) 10 외부서비스이용을위핸 UTP 포트설정 OUT_UDP_ALLOWPORT = ## 서버에서외부의 UTP 포트를이용하기위한설정으로허용할포트를
입력합니다. ( 내부에서외부 ) (5) 특정아이피를서버에접근하지못하도록차단하는방법 /etc/oops-firewall/user.conf 파일은 oops firewall에서제공하지않는 iptables 룰을등록하기위한파일이며특정 iptables 룰을적용하기위해서사용할수있습니다. oops-firewall 설정전에 iptables 룰을설정하기위해서는 iptables 대신 % 를사용하며 oops-firewall 설정이후에추가하여 iptables 룰을적용하기위해서는 @ 로대체합니다. 하기명령어는특정아이피를서버에접근하지못하도록완전히차단합니다. @-A INPUT -t filter -s 아이피 -j DROP