로컬 IP 192.168.1.2가 공용 IP 8.8.8.8인 라우터에 연결된 Linux 시스템을 실행 중입니다. 이제 라우터 8.8.8.8에는 DMZ가 192.168.1.2에 있습니다.
결과적으로 스패머, 해커, 크래커는 H.323 프로토콜 또는 SIP 프로토콜을 실행하는 192.168.1.2를 충돌시킵니다.
이러한 공격을 방지하기 위해 라우터 또는 라우터 뒤에 공용 IP 화이트리스트를 어떻게 배치할 수 있습니까? (Linux 시스템은 오픈 소스가 아니며 iptables를 배치할 수 있는 액세스 권한이 없습니다.)
답변1
라우터에서 iptables를 실행할 수 있는 경우 기본적으로 외부 인터페이스에서 들어오는 모든 항목을 삭제한 다음 예외를 추가합니다.
eth1이 외부 장치라고 가정하여 설명하는 간단한 예입니다.
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j DROP
iptables -I FORWARD -i eth1 -s 123.123.123.123 -j ACCEPT
iptables -I FORWARD -i eth1 -s 123.124.0.0/16 -j ACCEPT
줄은 다음을 의미합니다.
- 자신의 쿼리에 대한 응답과 같이 이미 보장된 트래픽을 허용합니다.
- 모든 것을 버려라
- IP 허용
123.123.123.123 - 전체 서브넷 허용
123.124.xxx.xxx
-I3행과 4행 대신 에 스위치를 사용하십시오. -A이는 규칙을 추가하는 대신 목록에서 첫 번째로 배치해야 함을 의미합니다.
Linux 시스템 자체에서 이를 실행해야 하는 경우에도 동일하게 작동하지만 로 대체해야 하며 FORWARD입력 INPUT인터페이스를 건너뛸 수 있습니다. 또한 LAN이 가장 신뢰할 수 있으므로 ACCEPT규칙 을 추가하고 싶을 수도 있습니다 .192.168.1.0/24