BBUWOO'S [ LIKE UNIX ] WORLD Home > Lecture > Firewall > Firewall-2  

HOME
WHAT's BBUWOO?
LInux AnNyung
Open Source
    GitHUB
    GitHUB (for PHP)
LECTURE
MINI LECTURE
QnA BOARD
ENGLISH POEM


WARNNING

강좌의 모든 권리는 본인 김정균에게 있으며 이 강좌를 상업적 목적 으로 이용
하거나 다른 곳으로 옮길시에는 본인의 허락이 있어야 한다. 이글의 가장 최신글은
http://oops.org 에서 확인할수 있다.



OOPS Firewall v7



OOPS Firewall의 설정은 /etc/oops-firewall디렉토리에 있는 파일

    . interface.conf (6.0.0 부터 추가)
    . filter.conf
    . bridge.conf (6.0.0 부터 추가)
    . masq.conf
    . forward.conf
    . tos.conf
    . application.conf (6.0.0 부터 추가)
    . user.conf

에서 이루어 진다. 각설정 파일들은 인터페이스 설정, 패킷 필터링 설정, 브리지 방화벽 설
정, 인터넷 공유 설정, 포트 포워드 설정, 고급 설정, 특정 제공 기능 설정, 사용자정의 설
정으로 이루어 진다.

6.x 버전과 설정파일은 동일하지만, bridge와 port forwarding의 코드가 달라지면서 지시자
가 변경된 부분이 있고, 기존 설정 중에서 ip range 지원을 위하여 변경된 부분이 있으니,
이전 버전을 사용했더라도 재설정을 해야 한다.

일단 이 페이지에서는 interface.conf 부터 하나씩 다루게 될 것이다.


interface.conf에서는 iptables의 conntrack table에 대한 kernel parameter 조정과 사용이
될 기능에대한 해당 ethernet device를 설정한다. WAN과 MASQUERADE, BRIDGE, Forwarding에
대한 설정을 한다. MASQ 와 BRIDGE, Fowarding을 사용하지 않는다면 이 기능에 대한 지정은
비워 놓아도 상관이 없다.

Hanterm - cat /etc/oops-firewall/interface.conf

 [root@bbuwoo /home]$ cat /etc/oops-firewall/interface.conf

  ##########################################################################
  # Firewall Interface 설정 파일
  # $Id: interface.conf,v 1.2 2006/12/29 08:35:48 oops Exp $
  #
  # oops-firewall 에서 사용되는 ethernet interface 설정
  #
  
  ##########################################################################
  # Kermel Module options
  ##########################################################################
  #
  # CONNTBL_MAX
  #   conntrack 엔트리의 최대수 설정
  #
  #   32bit: 램사이즈(byte) / 16384
  #   64bit: 램사이즈(byte) / 16384 / 2
  #
  #   kernel 2.4.23 이전
  #        /proc/sys/net/ipv4/ip_conntrack_max
  #   kernel 2.4.23 이후
  #        /proc/sys/net/ipv4/netfilter/ip_conntrack_max
  #   kernel 2.6.20 이후
  #        /proc/sys/net/netfilter/nf_conntrack_max
  #
  CONNTBL_MAX =

  # HASIZE for ip_conntrack_max
  #   conntrack 엔트리 리스트를 정렬하기 위한 해시 테이블 크기
  #   CONNTBL_MAX / 8
  #
  #   이 값은 커널 2.6.14 부터 사용이 가능 합니다.
  #
  HASHSIZE    =

  6.2.8 부터는 conntrack table 과 hash size를 제어를 할 수 있다. RAM 크기가
  2G 이상인 경우에만 설정을 하면된다. 요즘 배포본의 기본값이 65536이기 때문
  에 방화벽이나 Transparent proxy, bridge fireall 전용 장치로 사용하는 것이
  아니라면, 문제 발생시에만 조정해 주는 것을 권장한다.

  ##########################################################################
  # WAN Interface 설정
  ##########################################################################
  # WAN 구간 연결이 되는 인터페이스가 여러개 일 경우 공백 문자를 구분자로
  # 나열해 준다. 가상 interface (예 eth0:0)는 등록할 필요가 없다.
  #

  FIREWALL_WAN = eth0 ppp0

  WAN 즉 인터넷에 연결이 되어 있는 디바이스를 설정한다. 인터페이스가 여러
  개이고 MASQUERADE_LOC 나 BRIDGE_LOCDEV 로 사용하지 않는 인터페이스는 다
  적어주면 된다. 1개 이상이라 면 공백문자를 구분자로 하여 계속 추가한다.

  포트 포워딩을 사용할 경우에만 이 값이 사용이 된다.
  

  ##########################################################################
  # MASQ Interface
  ##########################################################################
  # MASQ 나 또는 따로 Private 구간을 연결하는 Interface 가 존재할 경우 등
  # 록한다. 여러개가 존재할 경우 공백문자를 구분자로 나열한다.
  #
  #MASQUERADE_WAN = eth0
  #MASQUERADE_LOC = eth1

  
  masq.conf 설정 파일에서 MASQ_USED=1 로 설정했을 때 사용이 된다.  0 이면
  설정할 필요없다. MASQUERADE_WAN 은 인터넷과 연결된 device 중에 하나여야
  하며 MASQUERADE_LOC 는 사설망에 연결된 device 를 지정한다.

  단, 아래의 BRIDGE_LANDEV 와 동일하면 안된다.

  지정한 인터페이스가 없거나 충돌이 나거나 등의 일이 발생하면 MASQ_USED는
  0 으로 재셋팅 된다. (프로그램 내부에서 0 으로 처리해 버린다는 의미이다.

  MASQ 관련 device 설정은 1 개씩만 가능하다.


  ##########################################################################
  # Bridge Interface
  ##########################################################################
  #
  # BRIDGE 구성시에 BRIDGE 의 WAN interface 와 Local Interface 를 지정 한
  # 다. MASQ 와 동시에 사용시에는 FILEWALL_LOC 와 BRIDGE_LOCDEV 가 동일한
  # interface 를 지정할 수 없다. BRIDGE interface 는 각각 1 개씩만 지정이
  # 가능하다.
  #
  BRIDGE_DEVNAME = br0
  #BRIDGE_WANDEV = eth0
  #BRIDGE_LANDEV = eth1

  
  Bridge 기능을 사용하기 위한 설정으로, BRIDGE_USED가 1 로 설정이 되어 있
  어야 사용이 된다. 반대로 이 설정이 되어있지 않으면 BRIDGE_USED는 내부적
  으로 0으로 작동을 한다. MASQ deivce 와 마찬가지로 1개씩만 가능하다.

  7.0.0 부터 BRIDGE_LOCDEV가 BRIDGE_LANDEV로 변경되었으며, BRIDGE_DEVNAME
  지시자가 추가 되었다.
  

 [root@bbuwoo oops-firewall-7.0.1]$


다음 장에서는 oops-firewall 에서 필터링을 위한 설정을 보도록 한다.


>> 이전 : OOPS Firewall 설치
>> 다음 : OOPS Firewall 필터링 설정


    



 Home > Lecture > Firewall > Firewall-2

Copyright 1997-2017 JoungKyun Kim 
LAST MODIFIED: 2017/01/18