Inbound 제어

Inbound 제어를 한다는 것은 여러가지 의미가 있습니다.

  1. 외부의 사용자가 이 서버로 ssh 접속을 한다.

  2. 외부의 사용자가 이 서버로 http 접속을 한다.

이해하기 쉽게 표현하자면 위의 기술과 같이 외부의 사용자 또는 프로그램이 이 서버로 접근을 하는 것을 의미하며, 좀더 정확하게는 외부에서 들어오는 syn packet을 제어하는 것으로 이해를 하면 됩니다. (syn packet이 무엇인지 꼭!! 알야야 하는 것은 아닙니다)

oops-firewall의 Inbound 설정은 다음과 같습니다.

  [root@an3 ~]$ cat /etc/oops-firewall/filter.conf

  .. 상략..
  ##########################################################################
  # TCP configuration
  ##########################################################################
  #
  # 모두 열여줄 포트를 설정
  #
  # RULE:
  #       DESTINATION_PORT[:STATE]
  #
  TCP_ALLOWPORT = 22

  # 특정 호스트에 특정 포트를 열어 줄때
  #
  # RULE:
  #       SOURCE_IP[:DESTINATION_PORT[:STATE]]
  #
  TCP_HOSTPERPORT =

  ##########################################################################
  # UDP configuration
  ##########################################################################
  #
  # 모두 열여줄 포트를 설정
  # RULE:
  #       DESTINATION_PORT[:STATE]
  #
  UDP_ALLOWPORT =

  # 특정 호스트에 특정 포트를 열어 줄때
  #
  # RULE:
  #       SOURCE_IP[:DESTINATION_PORT[:STATE]]
  #
  UDP_HOSTPERPORT =

  ##########################################################################
  # ICMP configuration
  ##########################################################################
  #
  # 특정 호스트에 ping 을 열어 줄때
  # RULE:
  #       SOURCE_IP
  #
  ICMP_HOSTPERPING =

  # 특정 호스트에 traceroute 를 열여줄 때
  #
  # RULE:
  #       SOURCE_IP
  #
  ICMP_HOSTPERTRACE = anywhere
  .. 하략 ..

  [root@an3 ~]$

Inbound 설정은 filter.conf에서 하며, TCP/UDP/ICMP 이렇게 3개의 section으로 나뉘어져 있습니다. 각 섹션은 포트로만 제어를 하는 옵션과 호스트별 포트로 제어를 하는 경우로 나뉘어져 있습니다.

예를 들어 내 서버에서 web service를 하겠다고 한다면 아래와 같이 TCP_ALLOWPORT에 80번을 추가 합니다.

  TCP_ALLOWPORT = 22 80

하지만, 만약 모든 사람이 다 봐야 되는 경우가 아닐 수도 있습니다. 예를 들어 특정 업체와 연계를 하여, 그 업체의 특정 IP(또는 IP대역)에서 이 서버의 80번 포트로 접근을 허가해 주여야 하는 경우는 위의 설정 대신 아래와 같이TCP_HOSTPERPORT 에 설정을 해 줍니다.

  TCP_HOSTPERPORT = 10.0.48.2:80 15.4.2.128/25:80

위의 설정은 다음을 의미합니다.

  1. 10.0.0.48.2 에서 이 서버의 80번으로 들어오는 접근 허가

  2. 15.4.2.128-15.4.2.255 IP 대역에서 이 서버의 80번으로 들어오는 접근 허가

주의 할 것은, IP'외부에서 접근할 IP'이고, 포트'외부에서 접근할 이 서버의 포트' 입니다.

이런 형식으로 서비스에 맞게 protocol을 지정해 주실 수 있습니다.

Last updated