BBuWoo's [Like Unix] World

BBUWOO'S [ LIKE UNIX ] WORLD

HOME
WHAT's BBUWOO?
LInux AnNyung
Open Source
GitHUB
GitHUB (for PHP)
LECTURE
MINI LECTURE
QnA BOARD
ENGLISH POEM

WARNNING

강좌의 모든 권리는 본인 김정균에게 있으며 이 강좌를 상업적 목적 으로 이용
하거나 다른 곳으로 옮길시에는 본인의 허락이 있어야 한다. 이글의 가장 최신글은
http://oops.org 에서 확인할수 있다.

OOPS Firewall v7

11. OOPS Firewall applicaton 설정 - application.conf

OOPS Firewall 6.0 에서 새로 추가된 부분이다.

application 설정이란 특정 기능에 대하여 미리 룰셋을 만들어 제공하는 것을 의미한다. 현
재는 SSH Brute Force Attack 에 대한 기능과 Layer7 filter에 대한 기능을 제공한다.

7.0.0 부터는 Bridge 관련 설정이 추가 되었다.

Hanterm - cat /etc/oops-firewall/tos.conf


 [root@bbuwoo oops-firewall]$ cat /etc/oops-firewall/application.conf

  ##########################################################################
  # Application filtering
  # $Id: application.conf 338 2013-01-04 19:17:13Z oops $
  #
  # 이 파일은 특정 공격이나 scan 등을 막기위한 정형적인 서비스를 제공한다.

  ##########################################################################
  # SSH Brute Force Attack
  ##########################################################################
  #
  # Rule:
  #       BRUTE_FORCE_FILTER    = DEST_PORT:SECOND:HIT
  #       BR_BRUTE_FORCE_FILTER = SOURCE_IP|DEST_IP|DEST_PORT:SECOND:HIT
  #
  BRUTE_FORCE_FILTER    =
  BR_BRUTE_FORCE_FILTER =

  
  BRUTE_FORCE_FILTER를 22:60:10 으로 설정을 한다는 것은 22번 포트에 60초 동
  안 10회의 syn packet이 들어오면 1분간 block 시킨다는 의미이다.

  # BFUTE FORCE FILTER 사용시에 로깅을 할지 안할지를 결정한다.
  #
  BRUTE_FORCE_LOG = false

  ##########################################################################
  ## LAYER7 Filter Configuration
  ###########################################################################
  #
  # 이 설정은 iptables layer7 extension 을 지원을 해야 사용할수 있다. 만약
  # 지원하지 않는데 지정을 한다면 에러가 발생하니 주의하기 바란다.
  #
  # LAYER7_FILTER 는 다음의 형식으로 지정을 한다.
  #
  # **LAYER7_FILTER_FORAMT**
  #         TABLE:CHAIN:PROTO:ACTION:MARK:DIR
  #         :CHAIN:PROTO:ACTION:MARK:DIR
  #         :CHAIN:PROTO:ACTION:MARK
  #
  # iptables -t {TABLE} -A {CHAIN} -m layer7 --l7prot {PROTO} \
  #          --l7dir {DIR} -j {DROP/MARK --set-mark {MARK}}
  #
  # TABLE: iptables 의 TABLE 을 지정한다. -t 옵션의 값을 사용한다.
  #        기본 테이블의 경우 지정하지 않아도 된다.
  # CHAIN: iptables 의 Chain 을 지정한다. -A 옵션의 값이다.
  # PROTO: layer7 extension 의 filter 이름을 지정한다.
  # ACTION: iptables 의 -j 의 값을 지정한다. DROP/MARK 만 가능하다.
  #        이 외의 값은 user.conf 에서 사용을 하기바란다. 지정하지 않을 경
  #        우, 기본값으로 DROP 을 사용한다.
  # MARK : ACTION 이 MARK 일 경우, --set-mark 의 값을 지정한다.
  # DIR  : --l7dir 에 지정할 경로를 지정한다. (지정하지 않아도 된다.)
  #
  # Rule:
  #       LAYER7_FILTER    = LAYER7_FILTER_FORMAT
  #       BR_LAYER7_FILTER = SRC_IP|DEST_IP|LAYER7_FILTER_FORMAT
  #
  LAYER7_FILTER    =
  BR_LAYER7_FILTER =

  LAYER7_FILTER 는 6.2.4 부터 추가 되었다. 이 옵션은 layer7 module이 필
  요하다. layer7 filter는 packet 의 application level을 분석하여 필터링
  을 하기 때문에 막고자 하는 필터를 생성해야 한다.  기본적으로 제공되는
  필터들은 l7-protocols package에서 제공되는 필터들을 지용할 수 있다.

 [root@bbuwoo oops-firewall]$

다음은 oops-firewall 에서 지원하지 않거나 oops-firewall 이 제공하는 룰
을 벗어난 룰을 만들기 위한 환경을 알아 보겠다.

>> 이전 : OOPS Firewall Bridge 설정
>> 다음 : OOPS Firewall 사용자 정의

Home > Lecture > Firewall > Firewall-9