튜토리얼에서는 fwknop스크립트로 포트를 차단하라고 나와 있습니다 iptables.
iptables너무 헷갈려서 사용하고 싶지 않고 차라리 ufw.근데 뭔가 복잡한 일을 하는 것 같아서 따로 설정을 해야 할지 ufw모르겠네요 .fwknop
포트를 열거나 닫아도 닫은 ufw것처럼 fwknop계속 작동합니까 iptables?
답변1
1) fwknop 문서에서:
fwknop 프로젝트는 Linux, OpenBSD, FreeBSD 및 Mac OS X에서 iptables, Firewalld, PF 및 ipfw의 네 가지 방화벽을 지원합니다. ipset 또는 nftables와 같은 다른 인프라를 지원하도록 fwknop을 만들 수 있도록 사용자 정의 스크립트도 지원됩니다.
분명히 공식적으로는 4개의 방화벽만 지원합니다. 그러나 다른 방화벽에 대한 지원을 수동으로 추가할 여지가 있습니다. 자세한 내용은 구성 파일을 확인하세요.
2) UFW가 있으면 iptable도 있습니다.
복잡하지 않은 방화벽(ufw)은 iptables의 프런트엔드이며 특히 호스트 기반 방화벽에 적합합니다. ufw는 넷필터 관리를 위한 프레임워크와 방화벽 운영을 위한 명령줄 인터페이스를 제공합니다. ufw는 방화벽 개념에 익숙하지 않은 사람들을 위해 사용하기 쉬운 인터페이스를 제공하는 동시에 관리자가 자신이 수행하는 작업을 알 수 있도록 복잡한 iptables 명령을 단순화하는 것을 목표로 합니다. ufw는 다른 배포판 및 그래픽 프런트엔드의 업스트림입니다.
따라서 ufw를 통해 포트를 차단하면 iptables 자체에 의해 차단된 것처럼 작동해야 합니다. 하지만 솔직히 iptables는 배우기가 그리 어렵지 않습니다. 먼저 fwknop을 사용하려면 다음 규칙을 추가하면 됩니다.
# Generated by iptables-save v1.6.1 on Tue Apr 23 15:11:27 2019
*nat :PREROUTING ACCEPT [129:17936] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [106:9180] :POSTROUTING ACCEPT [106:9180] COMMIT
# Completed on Tue Apr 23 15:11:27 2019
# Generated by iptables-save v1.6.1 on Tue Apr 23 15:11:27 2019
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [91:9203]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG
-A FORWARD -j DROP COMMIT
# Completed on Tue Apr 23 15:11:27 2019
위의 텍스트를 아무 파일에나 저장하면 됩니다. 그런 다음 다음 명령을 실행합니다.
iptables-복원 < 파일 이름
가셔도 괜찮을 거예요!
답변2
~에 따르면Reddit에 대한 이 튜토리얼, 다음 ufw과 같이 사용할 수 있습니다 /etc/fwknop/access.conf.
SOURCE ANY # Limit the Ports able to be opened OPEN_PORTS tcp/22 # Keys from ~/.fwknoprc KEY_BASE64 [...] HMAC_KEY_BASE64 [...] CMD_CYCLE_OPEN /usr/sbin/ufw allow $PORT CMD_CYCLE_CLOSE /usr/sbin/ufw delete allow $PORT # Default cycle time Mandatory for CMD_CYCLE_OPEN/CLOSE CMD_CYCLE_TIMER 180