탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어) |
다음과 같은 경우 패킷 필터링 및 NAT 규칙을 수정하거나 비활성화할 수 있습니다.
테스트 용도로 사용하려는 경우
문제의 원인이 IP 필터인 것으로 간주되어 시스템 문제를 해결하려는 경우
다음 작업 맵에서는 IP 필터 규칙 세트와 관련된 절차를 식별합니다.
표 5-2 IP 필터 규칙 세트 작업(작업 맵)
|
IP 필터에서는 활성 및 비활성 패킷 필터링 규칙 세트가 모두 커널에 상주할 수 있습니다. 활성 규칙 세트에 따라 수신 패킷 및 송신 패킷에 대해 수행하려는 필터링이 결정됩니다. 비활성 규칙 세트도 규칙을 저장합니다. 비활성 규칙 세트를 활성 규칙 세트로 설정하지 않은 경우 해당 규칙이 사용되지 않습니다. 활성 및 비활성 패킷 필터링 규칙 세트를 모두 관리, 확인 및 수정할 수 있습니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
다음 예에서는 커널에서 로드된 활성 패킷 필터링 규칙 세트의 출력을 보여 줍니다.
$ ipfstat -io empty list for ipfilter(out) pass in quick on net1 from 192.168.1.0/24 to any pass in all block in on net1 from 192.168.1.10/32 to any
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
다음 예에서는 비활성 패킷 필터링 규칙 세트의 출력을 보여 줍니다.
$ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all
다음 작업 중 하나를 수행하려면 이 절차를 사용하십시오.
현재 IP 필터에 사용되고 있는 규칙 세트가 아닌 다른 패킷 필터링 규칙 세트를 활성화합니다.
새로 업데이트된 동일한 필터링 규칙 세트를 다시 로드합니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
완전히 다른 규칙 세트를 활성화하려면 별도의 파일에 새 규칙 세트를 만듭니다.
구성 파일에서 현재 규칙 세트를 업데이트합니다.
$ ipf -Fa -f filename
filename의 규칙이 활성 규칙 세트를 대체합니다.
주 - 업데이트된 규칙 세트를 로드하려면 ipf -D 또는 svcadm restart 등의 명령을 사용하지 마십시오. 새 규칙 세트를 로드하기 전에 먼저 방화벽을 사용 안함으로 설정하므로 해당 명령으로 인해 네트워크가 노출됩니다.
예 5-1 다른 패킷 필터링 규칙 세트 활성화
다음 예에서는 특정 패킷 필터링 규칙 세트를 다른 규칙 세트로 바꾸는 방법을 보여 줍니다.
$ ipfstat -io empty list for ipfilter(out) pass in quick on net0 all $ ipf -Fa -f /etc/ipf/ipfnew.conf $ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any
예 5-2 업데이트된 패킷 필터링 규칙 세트 다시 로드
다음 예에서는 현재 활성 상태이며 업데이트된 패킷 필터링 규칙 세트를 다시 로드하는 방법을 보여 줍니다.
$ ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/myorg.ipf.conf configuration file.) $ svcadm refresh network/ipfilter $ ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on net11 from 192.168.0.0/12 to any
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ ipf -F [a|i|o]
규칙 세트에서 모든 필터링 규칙을 제거합니다.
수신 패킷에 대한 필터링 규칙을 제거합니다.
송신 패킷에 대한 필터링 규칙을 제거합니다.
예 5-3 패킷 필터링 규칙 세트 제거
다음 예에서는 활성 필터링 규칙 세트에서 모든 필터링 규칙을 제거하는 방법을 보여 줍니다.
$ ipfstat -io block out log on net0 all block in log quick from 10.0.0.0/8 to any $ ipf -Fa $ ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
기존 규칙 세트에 규칙을 추가하면 테스트 또는 디버그 시 유용할 수 있습니다. 규칙이 추가된 경우 IP 필터 서비스는 계속 사용으로 설정됩니다. 하지만 서비스를 새로 고치거나 다시 시작하거나 사용으로 설정하는 경우, IP 필터 서비스의 등록 정보 파일에 규칙이 없으면 해당 규칙이 손실됩니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
ipf -f - 명령을 사용하여 명령줄에서 규칙 세트에 규칙을 추가합니다.
$ echo "block in on net1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
서비스를 새로 고치거나 다시 시작하거나 사용으로 설정하는 경우, 추가된 이 규칙은 IP 필터 구성의 일부가 아닙니다.
다음 명령을 실행합니다.
선택한 파일에 규칙 세트를 만듭니다.
만든 규칙을 활성 규칙 세트에 추가합니다.
$ ipf -f filename
활성 규칙 세트의 끝에 filename의 규칙이 추가됩니다. IP 필터는 “마지막 일치 규칙” 알고리즘을 사용하므로 quick 키워드를 사용하지 않는 경우 추가되는 규칙에 따라 필터링 우선 순위가 결정됩니다. 패킷이 quick 키워드를 포함하는 규칙과 일치하는 경우 해당 규칙에 대한 작업이 수행되고 후속 규칙이 확인되지 않습니다.
filename이 IP 필터 구성 파일 등록 정보 중 하나의 값이면 서비스를 사용으로 설정하거나 다시 시작하거나 새로 고치는 경우 해당 규칙이 다시 로드됩니다. 그렇지 않은 경우 추가된 규칙이 임시 규칙 세트를 제공합니다.
예 5-4 활성 패킷 필터링 규칙 세트에 규칙 추가
다음 예에서는 명령줄에서 활성 패킷 필터링 규칙 세트에 규칙을 추가하는 방법을 보여 줍니다.
$ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any $ echo "block in on net1 proto tcp from 10.1.1.1/32 to any" | ipf -f - $ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any
커널에서 비활성 규칙 세트를 만들면 테스트 또는 디버그 시 유용할 수 있습니다. IP 필터 서비스를 중지하지 않고도 해당 규칙 세트를 활성 규칙 세트로 전환할 수 있습니다. 하지만 서비스를 새로 고치거나 다시 시작하거나 사용으로 설정하는 경우, 비활성 규칙 세트를 추가해야 합니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ ipf -I -f filename
비활성 규칙 세트의 끝에 filename의 규칙이 추가됩니다. IP 필터는 “마지막 일치 규칙” 알고리즘을 사용하므로 quick 키워드를 사용하지 않는 경우 추가되는 규칙에 따라 필터링 우선 순위가 결정됩니다. 패킷이 quick 키워드를 포함하는 규칙과 일치하는 경우 해당 규칙에 대한 작업이 수행되고 후속 규칙이 확인되지 않습니다.
예 5-5 비활성 규칙 세트에 규칙 추가
다음 예에서는 파일에서 비활성 규칙 세트에 규칙을 추가하는 방법을 보여 줍니다.
$ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all $ ipf -I -f /etc/ipf/ipftrial.conf $ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any
커널에서 다른 규칙 세트로 전환하면 테스트 또는 디버그 시 유용할 수 있습니다. IP 필터 서비스를 중지하지 않고도 해당 규칙 세트를 활성화할 수 있습니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ ipf -s
이 명령을 사용하면 커널에서 활성 규칙 세트와 비활성 규칙 세트 간에 전환할 수 있습니다. 비활성 규칙 세트가 비어 있을 경우 패킷 필터링이 없는 것입니다.
주 - IP 필터 서비스를 새로 고치거나 다시 시작하거나 사용으로 설정하면 IP 필터 서비스의 등록 정보 파일에 있는 규칙이 복원됩니다. 비활성 규칙 세트는 복원되지 않습니다.
예 5-6 활성 패킷 필터링 규칙 세트와 비활성 패킷 필터링 규칙 세트 간 전환
다음 예에서는 ipf -s 명령을 사용하여 비활성 규칙 세트를 활성 규칙 세트로 전환하고 활성 규칙 세트를 비활성 규칙 세트로 전환하는 방법을 보여 줍니다.
ipf -s 명령을 실행하기 전에 ipfstat -I -io 명령의 출력은 비활성 규칙 세트의 규칙을 보여 줍니다. ipfstat -io 명령의 출력은 활성 규칙 세트의 규칙을 보여 줍니다.
$ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any $ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any
ipf -s 명령을 실행한 후 ipfstat -I -io 및 ipfstat -io 명령의 출력은 두 개 규칙 세트의 내용이 전환되었음을 보여 줍니다.
$ ipf -s Set 1 now inactive $ ipfstat -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any $ ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ ipf -I -Fa
주 - 나중에 ipf -s를 실행할 경우 비어 있는 비활성 규칙 세트가 활성 규칙 세트로 전환됩니다. 활성 규칙 세트가 비어 있을 경우 필터링이 수행되지 않습니다.
예 5-7 커널에서 비활성 패킷 필터링 규칙 세트 제거
다음 예에서는 모든 규칙이 제거되도록 비활성 패킷 필터링 규칙 세트를 비우는 방법을 보여 줍니다.
$ ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any $ ipf -I -Fa $ ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in)
다음 절차에 따라 IP 필터의 NAT 규칙을 관리, 확인 및 수정할 수 있습니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
다음 예에서는 활성 NAT 규칙 세트의 출력을 보여 줍니다.
$ ipnat -l List of active MAP/Redirect filters: map net0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ ipnat -FC
-C 옵션은 현재 NAT 규칙 목록의 모든 항목을 제거합니다. -F 옵션은 현재 활성 NAT 매핑을 보여 주는 현재 NAT 변환 테이블의 모든 활성 항목을 제거합니다.
예 5-8 NAT 규칙 제거
다음 예에서는 현재 NAT 규칙의 항목을 제거하는 방법을 보여 줍니다.
$ ipnat -l List of active MAP/Redirect filters: map net0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: $ ipnat -C 1 entries flushed from NAT list $ ipnat -l List of active MAP/Redirect filters: List of active sessions:
기존 규칙 세트에 규칙을 추가하면 테스트 또는 디버그 시 유용할 수 있습니다. 규칙이 추가된 경우 IP 필터 서비스는 계속 사용으로 설정됩니다. 하지만 서비스를 새로 고치거나 다시 시작하거나 사용으로 설정하는 경우, IP 필터 서비스의 등록 정보 파일에 NAT 규칙이 없으면 해당 규칙이 손실됩니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
ipnat -f - 명령을 사용하여 명령줄에서 NAT 규칙 세트에 규칙을 추가합니다.
$ echo "map net0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
서비스를 새로 고치거나 다시 시작하거나 사용으로 설정하는 경우, 추가된 이 규칙은 IP 필터 구성의 일부가 아닙니다.
다음 명령을 실행합니다.
선택한 파일에 추가 NAT 규칙을 만듭니다.
만든 규칙을 활성 NAT 규칙에 추가합니다.
$ ipnat -f filename
NAT 규칙의 끝에 filename의 규칙이 추가됩니다.
filename이 IP 필터 구성 파일 등록 정보 중 하나의 값이면 서비스를 사용으로 설정하거나 다시 시작하거나 새로 고치는 경우 해당 규칙이 다시 로드됩니다. 그렇지 않은 경우 추가된 규칙이 임시 규칙 세트를 제공합니다.
예 5-9 NAT 규칙 세트에 규칙 추가
다음 예에서는 명령줄에서 NAT 규칙 세트에 규칙을 추가하는 방법을 보여 줍니다.
$ ipnat -l List of active MAP/Redirect filters: List of active sessions: $ echo "map net0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - $ ipnat -l List of active MAP/Redirect filters: map net0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
다음 절차에 따라 주소 풀을 관리, 확인 및 수정할 수 있습니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
다음 예에서는 활성 주소 풀의 컨텐츠를 확인하는 방법을 보여 줍니다.
$ ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ ippool -F
예 5-10 주소 풀 제거
다음 예에서는 주소 풀 제거 방법을 보여 줍니다.
$ ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; $ ippool -F 1 object flushed $ ippool -l
기존 규칙 세트에 규칙을 추가하면 테스트 또는 디버그 시 유용할 수 있습니다. 규칙이 추가된 경우 IP 필터 서비스는 계속 사용으로 설정됩니다. 하지만 서비스를 새로 고치거나 다시 시작하거나 사용으로 설정하는 경우, IP 필터 서비스의 등록 정보 파일에 주소 풀 규칙이 없으면 해당 규칙이 손실됩니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
ippool -f - 명령을 사용하여 명령줄에서 규칙 세트에 규칙을 추가합니다.
$ echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -
서비스를 새로 고치거나 다시 시작하거나 사용으로 설정하는 경우, 추가된 이 규칙은 IP 필터 구성의 일부가 아닙니다.
다음 명령을 실행합니다.
선택한 파일에 추가 주소 풀을 만듭니다.
만든 규칙을 활성 주소 풀에 추가합니다.
$ ippool -f filename
활성 주소 풀의 끝에 filename의 규칙이 추가됩니다.
활성 패킷 필터링 규칙 세트에 규칙을 추가하는 방법의 지침을 따릅니다.
주 - IP 필터 서비스를 새로 고치거나 다시 시작하지 마십시오. 추가한 주소 풀 규칙이 손실됩니다.
예 5-11 주소 풀에 규칙 추가
다음 예에서는 명령줄에서 주소 풀 규칙 세트에 주소 풀을 추가하는 방법을 보여 줍니다.
$ ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; $ echo "table role = ipf type = tree number = 100 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f - $ ippool -l table role = ipf type = tree number = 100 { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; }; table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };