IPtables에 이 예제가 있습니다.
호스트에서 IPtable을 사용할 수 있습니다. 호스트에는 2개의 이더넷 연결, 즉 LAN용 eth0(192.168.0.2)과 인터넷용 eth1(151.100.4.3)이 있습니다.
호스트 192.168.0.25가 공격을 받고 있는 경우 이를 최대한 격리하는 규칙을 정의하고 싶습니다.
나는 이 IPtables에 대해 생각하고 다음과 같은 대답을 생각해냈습니다.
Iptables OUTPUT - d 192.168.0.25 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j DROP
Iptables INPUT -s 192.168.0.25 -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j DROP
Iptables FORWARD - d 192.168.0.25 -o eth0 i- eht1 -m state --state NEW,ESTABLISHED,RELATED -j DROP
Iptables FORWARD -s 192.168.0.25 -i eth0 o- eht1 -m state --state NEW,ESTABLISHED,RELATED -j DROP
순방향 체인도 맞나요? 트래픽이 인터넷의 해당 부분에서 들어오거나 나갈 수 있으므로 전달을 차단할 생각입니다.
공격자 호스트(192.168.0.25)에 새 방화벽을 만드는 경우 이 두 가지 일반적인 규칙을 더 만들 수 있나요?
Iptables OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j DROP
Iptables INPUT -m state --state NEW,ESTABLISHED,RELATED -j DROP
따라서 이 경우 호스트가 할 수 있는 일은 아무것도 없습니다.
내 가정이 맞나요?
답변1
"공격"은 다른 의미를 가질 수 있습니다. 그런데 LAN에 있는 호스트에 대한 외부 액세스를 방지하려면 정방향 체인이면 충분합니다.
물론 호스트가 손상된 경우 이 시점에서는 P2P이므로 방화벽을 사용하여 가능한 내부 LAN 활동을 차단할 수 없습니다.
여기에는 공용 IP를 노출하지 않는 것이 가장 좋습니다.