eth0Linux 장치 부팅 중에 온보드 네트워크(인터페이스를 통해 연결된 장치 목록)에 대한 방화벽 규칙을 설정 해야 합니다 .
기본적으로 FTP 액세스는 eth0비활성화되어 있어야 합니다.
conf.xml그런 다음 통신이 허용된 IP 주소, URL 또는 포트만 포함된 구성 파일( )을 읽습니다. 즉, 화이트리스트에 있는 장치만 통신할 수 있습니다.
아래와 같이 해봤는데 예상대로 작동하지 않습니다
예를 들어. conf.xml구성 파일( )에 언급된 특정 IP에 대해 FTP 액세스를 활성화하려면 다음 명령을 사용하십시오.
iptables -A INPUT -p tcp -s 10.10.10.10 --dport 21 -i eth0 -j ACCEPT
iptables -A OUTPUT -p tcp -s 10.10.10.10 --dport 21 -o eth0 -j ACCEPT
그런 다음 기본적으로 통신을 비활성화하려면 스크립트 끝에 다음 두 줄을 추가하십시오 eth0.
iptables -A INPUT -i eth0 -j DROP
iptables -A OUTPUT -o eth0 -j DROP
eth0하지만 통신이 영구적으로 비활성화되고 ipaddress가 10.10.10.10FTP 서버에 액세스하는 것도 허용되지 않는 것을 확인했습니다 .
답변1
귀하의 예에서 특정 호스트에 대한 화이트리스트 FTP에 오타가 있을 수 있습니다. iptables -A INPUT -p tcp -s 10.10.10.10 --dport 21 -i eth0 -j ACCEPT호스트 10.10.10.10에서 시스템의 일부 FTP 데몬으로의 연결을 허용하려는 경우 들어오는 트래픽(규칙)을 허용하는 것이 좋을 것 같습니다. 두 번째 규칙( )은 아마도 대상(소스가 아닌) 호스트를 허용해야 합니다( 대신 iptables -A OUTPUT -p tcp -s 10.10.10.10 --dport 21 -o eth0 -j ACCEPT선언해야 함 ).-d-s
언급하자면...체인의 마지막 규칙은 iptables -A ... -j DROPFTP뿐만 아니라 모든 통신(이전 규칙과 일치하지 않음)이 비활성화된다는 것을 의미합니다.