외부 액세스 포트를 차단해야 하는 Solaris에서 방화벽 규칙을 설정하려고 합니다. 나는 iptables를 사용하여 Linux에서 이것을 달성할 수 있으며, Solaris에서도 동일한 작업을 수행하고 싶습니다.
솔라리스의 IP 필터에 대해 인터넷 검색을 한 후 다음과 같은 규칙으로 /etc/ipf/에 있는 ipf.conf 파일을 업데이트해야 한다는 것을 발견했습니다.
포트에서 빠른 프로토타입 TCP 허용 = 모든 포트에서 프로토타입 TCP 차단 =
그러나 문제가 발생하여 외부 IP에서 해당 포트에 계속 액세스할 수 있습니다.
누구든지 내 목표를 달성하는 방법을 말해 줄 수 있나요? 무엇이 잘못되었고 어떤 문서가 제공되나요?
귀하의 도움에 크게 감사드립니다. 미리 감사드립니다.
감사합니다, Srikanth
답변1
다음과 같은 간단한 규칙:
모든 포트에서 192.168.0.62 포트 = 1234로 원시 TCP를 차단합니다.
포트 1234가 IP 192.168.0.62에 연결되지 않도록 차단합니다.
#서비스 IP 필터
상태 시간 fMRI
장애가 있는 May_15 svc:/network/ipfilter:default
#svcadm은 ipfilter를 활성화합니다
#서비스 IP 필터
상태 시간 fMRI
온라인 11:30:08 svc:/네트워크/ipfilter:기본
답변2
어떤 버전의 Solaris를 사용하고 있는지 알지 못했습니다.
이 시스템의 서비스를 비활성화/차단하기 위해 TCP 래퍼 사용을 고려해 보셨나요?
약간 과잉일 수도 있지만 v11을 사용하는 경우 필요에 맞게 pkg network/firewall(Solaris Firewall은 OpenBSD PF에서 파생됨)을 설치할 수도 있습니다.
규칙이 유효한지 확실하지 않습니다. 다음 출력을 표시할 수 있습니다. ipfstat -io
그러면 현재 로드된 규칙이 표시됩니다.
이는 ipf.conf에서 필요한 것을 제공할 수 있습니다:
allow in quick proto tcp/udp from 127.0.0.1 to any port = <port_to_block> block in log proto tcp/udp from any to any port = <port_to_block> svcadm restart ipfilter
"외부 액세스"가 무엇을 의미하는지 잘 모르겠습니다. 위의 내용은 localhost가 해당 포트에 연결하는 것을 허용하지만 다른 IP는 차단합니다. 다른 로컬 시스템/서브넷을 허용하는 규칙을 추가할 수도 있습니다.
ipfilter 사용 방법을 설명하는 설명서는 Oracle 웹 사이트에서 찾을 수 있지만 이는 ipfilter를 기반으로 하기 때문입니다.BSD IP 필터, 설명서를 확인하고 Solaris 및 BSD에 대한 추가 예제를 찾을 수도 있습니다.