| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 관리: IP 서비스 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 관리: IP 서비스 Oracle Solaris 11 Information Library (한국어) |
방화벽을 관리하려면 IP 필터를 사용하여 네트워크 트래픽 필터링에 사용할 규칙 세트를 지정하십시오. 다음 유형의 규칙 세트를 만들 수 있습니다.
패킷 필터링 규칙 세트
NAT(Network Address Translation) 규칙 세트
또한 IP 주소 그룹을 참조할 주소 풀을 만들 수 있습니다. 그런 다음 나중에 규칙 세트에서 이러한 풀을 사용할 수 있습니다. 주소 풀을 사용하면 규칙 처리 속도가 빨라집니다. 또한 주소 풀을 사용하면 큰 주소 그룹을 간편하게 관리할 수 있습니다.
패킷 필터링 규칙 세트를 사용하여 패킷 필터링을 설정합니다. ipf 명령을 사용하여 패킷 필터링 규칙 세트와 관련된 작업을 수행할 수 있습니다. ipf 명령에 대한 자세한 내용은 ipf(1M) 명령을 참조하십시오.
명령줄에서 ipf 명령을 사용하거나 패킷 필터링 구성 파일에서 패킷 필터링 규칙을 만들 수 있습니다. 부트 시 패킷 필터링 규칙이 로드되도록 하려면 패킷 필터링 규칙을 배치할 /etc/ipf/ipf.conf라는 구성 파일을 만듭니다. 부트 시 패킷 필터링 규칙이 로드되지 않도록 하려면 선택한 위치에 ipf.conf 파일을 배치하고 ipf 명령을 사용하여 수동으로 패킷 필터링을 활성화합니다.
IP 필터를 사용하여 두 개의 패킷 필터링 규칙 세트(활성 규칙 세트 및 비활성 규칙 세트)를 유지 관리할 수 있습니다. 대부분의 경우 활성 규칙 세트와 관련된 작업을 수행합니다. 하지만 ipf -I 명령을 사용하여 비활성 규칙 목록에 명령 작업을 적용할 수 있습니다. 비활성 규칙 목록을 선택하지 않을 경우 해당 목록은 IP 필터에 사용되지 않습니다. 비활성 규칙 목록은 활성 패킷 필터링에 영향을 끼치지 않고 규칙을 저장할 수 있는 위치를 제공합니다.
IP 필터는 패킷을 전달하거나 차단하기 전에 구성된 규칙 목록의 처음부터 규칙 목록의 끝까지 규칙 목록에 있는 규칙을 처리합니다. IP 필터는 패킷 전달 여부를 결정하는 플래그를 유지 관리합니다. 전체 규칙 세트를 확인하고 마지막 일치 규칙을 기반으로 패킷을 전달할지 아니면 차단할지 결정합니다.
이 프로세스에는 두 가지 예외가 있습니다. 첫번째 예외는 패킷이 quick 키워드를 포함하는 규칙과 일치하는 경우입니다. 규칙에 quick 키워드가 포함되면 해당 규칙에 대한 작업이 수행되고 후속 규칙이 확인되지 않습니다. 두번째 예외는 패킷이 group 키워드를 포함하는 규칙과 일치하는 경우입니다. 패킷이 그룹과 일치되면 그룹 태그가 지정된 규칙만 확인됩니다.
다음 구문을 사용하여 패킷 필터링 규칙을 만들 수 있습니다.
action [in|out] option keyword, keyword...
각 규칙은 작업으로 시작합니다. IP 필터는 패킷이 규칙과 일치하는 경우 패킷에 작업을 적용합니다. 다음은 패킷에 적용되는 가장 일반적으로 사용되는 작업을 나열한 것입니다.
패킷이 필터를 통과하지 못하도록 합니다.
패킷이 필터를 통과할 수 있도록 합니다.
패킷을 기록하되 패킷 차단 또는 통과를 결정하지 않습니다. ipmon 명령을 사용하여 로그를 확인할 수 있습니다.
필터 통계에 패킷을 포함합니다. ipfstat 명령을 사용하여 통계를 확인할 수 있습니다.
필터가 number개의 필터링 규칙을 건너 뛸 수 있도록 합니다.
패킷 정보를 검증하는 사용자 프로그램이 패킷 인증을 수행하도록 요청합니다. 프로그램에서 패킷 전달 또는 차단을 결정합니다.
작업 뒤에 오는 단어는 in 또는 out이어야 합니다. 선택한 단어에 따라 패킷 필터링 규칙이 수신 패킷에 적용될지 아니면 송신 패킷에 적용될지 결정됩니다.
그런 다음 옵션 목록에서 옵션을 선택할 수 있습니다. 옵션을 두 개 이상 사용할 경우 여기에 표시되는 순서를 따라야 합니다.
규칙이 마지막 일치 규칙인 경우 패킷을 기록합니다. ipmon 명령을 사용하여 로그를 확인할 수 있습니다.
패킷 일치가 있을 경우 quick 옵션이 포함된 규칙을 실행합니다. 모든 후속 규칙 확인이 중지됩니다.
패킷이 지정된 인터페이스 내부 또는 외부로 이동되고 있는 경우에만 규칙을 적용합니다.
패킷을 복사하고 interface-name의 중복 출력을 선택적으로 지정된 IP 주소로 보냅니다.
패킷을 interface-name의 아웃바운드 대기열로 이동합니다.
옵션을 지정한 후 패킷이 규칙과 일치하는지 여부를 확인하는 다양한 키워드를 선택할 수 있습니다. 다음 키워드는 여기에 표시된 순서대로 사용해야 합니다.
주 - 기본적으로 구성 파일의 규칙과 일치하지 않는 패킷은 필터를 통해 전달됩니다.
16진수 또는 십진수 정수로 표시되는 type-of-service 값을 기준으로 패킷을 필터링합니다.
time-to-live 값을 기준으로 패킷을 일치시킵니다. 패킷에 저장된 time-to-live 값은 패킷을 폐기하기 전에 네트워크에 보관할 수 있는 기간을 나타냅니다.
특정 프로토콜을 일치시킵니다. /etc/protocols 파일에 지정된 프로토콜 이름을 사용할 수도 있고, 십진수를 사용하여 프로토콜을 나타낼 수도 있습니다. tcp/udp 키워드를 사용하여 TCP 또는 UDP 패킷을 일치시킬 수 있습니다.
소스 IP 주소, 대상 IP 주소, 포트 번호 중 일부 또는 전체와 일치시킵니다. all 키워드는 모든 소스에서 수신되고 모든 대상으로 송신되는 패킷을 승인할 수 있습니다.
패킷과 연관되어 있는 지정된 속성을 일치시킵니다. 옵션이 없는 경우에만 패킷을 일치시키려면 키워드 앞에 not 또는 no 단어를 삽입하십시오.
설정된 TCP 플래그를 기준으로 필터링할 TCP에 사용됩니다. TCP 플래그에 대한 자세한 내용은 ipf(4) 매뉴얼 페이지를 참조하십시오.
ICMP 유형에 따라 필터링합니다. 이 키워드는 proto 옵션이 icmp로 설정된 경우에만 사용되며 flags 옵션이 설정된 경우 사용되지 않습니다.
패킷에 대해 보관되는 정보를 결정합니다. 사용 가능한 keep-options로는 state 옵션과 frags 옵션이 있습니다. state 옵션은 세션에 대한 정보를 보관하며 TCP, UDP 및 ICMP 패킷에 보관될 수 있습니다. frags 옵션은 패킷 단편에 정보를 보관하며 후속 단편에 정보를 적용합니다. keep-options를 사용하면 액세스 제어 목록을 확인하지 않고서도 일치 패킷을 전달할 수 있습니다.
number 번호로 표시되는 필터링 규칙에 대한 새 그룹을 만듭니다.
기본 그룹 대신 그룹 번호 number에 규칙을 추가합니다. 지정된 다른 그룹이 없을 경우 모든 필터링 규칙이 그룹 0에 배치됩니다.
다음 예에서는 규칙을 만드는 패킷 필터링 규칙 구문을 배치하는 방법을 보여 줍니다. IP 주소 192.168.0.0/16의 수신 트래픽을 차단하려면 규칙 목록에 다음 규칙을 포함시킵니다.
block in quick from 192.168.0.0/16 to any
패킷 필터링 규칙을 작성하는 데 사용되는 전체 문법 및 구문은 ipf(4) 매뉴얼 페이지를 참조하십시오. 패킷 필터링과 관련된 작업은 IP 필터에 대한 패킷 필터링 규칙 세트 관리를 참조하십시오. 예에 표시된 IP 주소 체계(192.168.0.0/16)에 대한 설명은 1 장네트워크 배치 계획을 참조하십시오.
NAT는 소스 및 대상 IP 주소를 다른 인터넷 또는 인트라넷 주소로 변환하는 매핑 규칙을 설정합니다. 이러한 규칙은 수신 또는 송신 IP 패킷의 소스 및 대상 주소를 수정하고 패킷을 보냅니다. NAT를 사용하여 포트 간에 트래픽을 재지정할 수도 있습니다. NAT는 패킷이 수정되거나 재지정되는 동안 패킷의 무결성을 유지합니다.
ipnat 명령을 사용하여 NAT 규칙 목록과 관련된 작업을 수행할 수 있습니다. ipnat 명령에 대한 자세한 내용은 ipnat(1M) 명령을 참조하십시오.
명령줄에서 ipnat 명령을 사용하거나 NAT 구성 파일에서 NAT 규칙을 만들 수 있습니다. NAT 구성 규칙은 ipnat.conf 파일에 상주합니다. 부트 시 NAT 규칙이 로드되도록 하려면 NAT 규칙을 배치할 /etc/ipf/ipnat.conf라는 파일을 만듭니다. 부트 시 NAT 규칙이 로드되지 않도록 하려면 선택한 위치에 ipnat.conf 파일을 배치하고 ipnat 명령을 사용하여 수동으로 패킷 필터링을 활성화합니다.
다음 구문을 사용하여 NAT 규칙을 만들 수 있습니다.
command interface-name parameters
각 규칙은 다음 명령 중 하나로 시작합니다.
제한되지 않은 라운드 로빈 프로세스에서 특정 IP 주소 또는 네트워크를 다른 IP 주소 또는 네트워크에 매핑합니다.
특정 IP 주소와 포트 쌍의 패킷을 다른 IP 주소와 포트 쌍으로 재지정합니다.
외부 IP 주소와 내부 IP 주소 간에 양방향 NAT를 설정합니다.
정적 IP 주소 기반 변환을 설정합니다. 이 명령은 주소를 강제로 대상 범위로 변환하는 알고리즘을 기반으로 합니다.
명령 뒤에 오는 단어는 인터페이스 이름(예: bge0)입니다.
그런 다음 NAT 구성을 결정하는 다양한 매개변수를 선택할 수 있습니다. 몇 가지 매개변수는 다음과 같습니다.
네트워크 마스크를 지정합니다.
ipmask가 변환되는 주소를 지정합니다.
포트 번호 범위와 함께 tcp, udp 또는 tcp/udp 프로토콜을 지정합니다.
다음 예에서는 NAT 규칙을 만드는 NAT 규칙 구문을 배치하는 방법을 보여 줍니다. 소스 주소가 192.168.1.0/24인 de0 장치에서 송신되는 패킷을 재작성하고 외부적으로 소스 주소를 10.1.0.0/16으로 표시하려면 NAT 규칙 세트에 다음 규칙을 포함시킵니다.
map de0 192.168.1.0/24 -> 10.1.0.0/16
NAT 규칙을 작성하는 데 사용되는 전체 문법 및 구문은 ipnat(4) 매뉴얼 페이지를 참조하십시오.
주소 풀은 주소/넷마스크 쌍 그룹의 이름을 지정하는 데 사용되는 단일 참조를 설정합니다. 주소 풀은 IP 주소를 규칙과 일치시키는 데 필요한 시간을 단축시킬 프로세스를 제공합니다. 또한 주소 풀을 사용하면 큰 주소 그룹을 간편하게 관리할 수 있습니다.
주소 풀 구성 규칙은 ippool.conf 파일에 상주합니다. 부트 시 주소 풀 규칙이 로드되도록 하려면 주소 풀 규칙을 배치할 /etc/ipf/ippool.conf라는 파일을 만듭니다. 부트 시 주소 풀 규칙이 로드되지 않도록 하려면 선택한 위치에 ippool.conf 파일을 배치하고 ippool 명령을 사용하여 수동으로 패킷 필터링을 활성화합니다.
다음 구문을 사용하여 주소 풀을 만들 수 있습니다.
table role = role-name type = storage-format number = reference-number
여러 주소에 대한 참조를 정의합니다.
IP 필터의 풀 역할을 지정합니다. 지금은 ipf 역할만 참조할 수 있습니다.
풀에 대한 저장 형식을 지정합니다.
필터링 규칙에 사용되는 참조 번호를 지정합니다.
예를 들어, 10.1.1.1 및 10.1.1.2 주소 그룹과 192.16.1.0 네트워크를 풀 번호 13으로 참조하려면 주소 풀 구성 파일에 다음 규칙을 포함시킵니다.
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24 };
그런 다음 필터링 규칙의 풀 번호 13을 참조하려면 다음 예와 유사한 규칙을 생성합니다.
pass in from pool/13 to any
풀에 대한 참조를 포함하는 규칙 파일을 로드하기 전에 풀 파일을 로드해야 합니다. 그렇지 않을 경우 다음 출력과 같이 풀이 정의되지 않습니다.
# ipfstat -io empty list for ipfilter(out) block in from pool/13(!) to any
나중에 풀을 추가하는 경우에도 풀 추가로 인해 커널 규칙 세트가 업데이트되지 않습니다. 또한 풀을 참조하는 규칙 파일을 재로드해야 합니다.
패킷 필터링 규칙을 작성하는 데 사용되는 전체 문법 및 구문은 ippool(4) 매뉴얼 페이지를 참조하십시오.
|