.png)
내 애플리케이션 서버 는 조직 전체 방화벽으로 보호되는 네트워크에 있고 내 서버도 fail2ban. iptables내 구성에 문제가 있습니다.
필요하다:
- 모든 사람의 액세스를 거부한 다음 특정 IP 범위(4.3.4.0/16)를 허용합니다.
- 애플리케이션의 연속 LDAP 기능(
ldap_connectPHP에서 사용됨) - URL을 통해 외부 콘텐츠를 검색하는 기능
알려진 것:
- 애플리케이션 서버 IP는 1.2.3.4입니다.
- LDAP 서버는 1.2.100.200으로 확인되고 포트 636을 사용합니다.
- 내 노트북의 고정 IP는 4.3.2.1입니다.
내가 시도한 것:
iptables포트 22, 80, 443을 통한 트래픽을 허용하는 일반 구성 에서 시작하여 다음을 추가했습니다.
# explicitly allow ssh access from my laptop
iptables -A INPUT -s 4.3.2.1 -d 1.2.3.4 -p tcp --dport 22 -j ACCEPT
# deny all traffic
iptables --policy INPUT DROP
# allow traffic from a specific IP range
iptables -A INPUT -s 4.3.4.0/24 -j ACCEPT
# allow traffic from LDAP server IP
iptables -A INPUT -s 1.2.100.200 -j ACCEPT
iptables -A INPUT -p tcp --dport 636 -j ACCEPT
을 사용하여 구성을 저장한 service iptables save다음 서비스를 다시 시작합니다.
질문:
로그인을 하면 앱을 탐색하고 사용할 수 있습니다(아래 한 가지 제외). 로그인하지 않은 경우 LDAP 인증이 중단됩니다.
두 번째 문제는 새 구성을 사용하여 외부 콘텐츠에 액세스할 수 없다는 것입니다. 다른 컴퓨터에서 데이터를 검색하기 위해 HTTPS를 사용하고 있습니다. 아웃바운드 트래픽이 외부 컴퓨터의 IP에 도달하도록 허용하는 규칙을 추가하기만 하면 되나요?
답변1
LDAP 서버가 비표준 포트를 사용하고 있을 가능성이 있습니까?
LDAP 서버가 어느 포트를 수신하고 있는지 확인할 수 있습니다.netstat -tlpn
두 번째 문제는 새 구성을 사용하여 외부 콘텐츠에 액세스할 수 없다는 것입니다.
이 규칙을 적용한 후에는 이 컴퓨터에서 네트워크 리소스에 연결할 수 없다는 뜻이라고 가정합니다. 요청은 나갈 수 있지만(분명히 OUTPUT기본 정책을 DROP으로 설정하지 않았기 때문에) 원격 서버의 응답은 방화벽에 의해 삭제됩니다.
관심 있는 트래픽을 생성할 때 기본 정책에 대한 패킷 수를 모니터링하여 이러한 일이 발생하는지 확인할 수 있습니다.
root@xxxxxxvld02 ~ $ iptables -nvL
Chain INPUT (policy ACCEPT 157 packets, 18048 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 63 packets, 6998 bytes)
pkts bytes target prot opt in out source destination
위의 157 packets체인 위쪽에는 INPUT기본 정책이 적용된 패킷 수가 표시됩니다(규칙의 왼쪽에는 자체 개수가 있으며 맨 위에 있는 숫자는 변경되지 않습니다).
기존 연결과 관련된 트래픽을 명시적으로 허용하는 규칙을 생성할 수 있습니다.
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT