iptables 에서 ip대역 지정

hotcpu의 이미지

해킹을 자주 시도하는

모대학의 IP대역을 전부 차단하고 싶은데요.

whois 로 확인하니 그 대역이

203.241.176.0 - 203.241.191.255 까지 입니다.

iptables 에서 대역지정을 어떻게 표현하면 될까요?

간단하게 설명도 해주시면 너무 감사 하겠습니다.

한참을 뒤져도 이해가 안되는부분이 좀 있어서요.

/8 /16 /24 가 각각 클래스를 지정한다는건 알겠는데..

2진수로 바꾸어서 비트수로 변환해서 지정하는 방법이나

아니면 다른 편한 지정방법이 있는지가 궁금합니다.

실제 위 대역을 제 나름대로(아마도 틀렸겠죠? ^^;) 계산해보니

203.241.176.0/20 이란게 나오던데 이게 맞는건지..

이렇게 하면

203.241.176.0 - 203.241.191.255 까지 전부 막히는건지..

상기의 IP대역말고 다른 예를들어서,

210.117.65.1 - 210.117.110.200 까지의 전체를 차단한다면

어떻게 표현을 해야 할까요?

고견 부탁합니다. 꾸벅.

Rina의 이미지

iptable 사용법은 모르겠지만..

ip요약은 맞네요..
라우팅 경로 요약할 때 그렇게 하는 걸로

210.117.65.1 ~ 210.117.110.200 이면..
210.117.64.0/18 이 되어야 할 것 같네요..

----------------------------------------------------------------------------------------------------
Rina's Blog
http://rinapc.com

hotcpu의 이미지

어라? 제가 계산한게 맞는건가요? /20 이요?

근데 왜 iptables 에서 안막힐까요? T_T

지금 올려주신게 /16이 되어야 한다고 하셨는데.. 왜 16인지 좀 --;;;

저는 아무리 계산해도 16이 안나오거든요. T_T

210.117.0.0/16 이면 위 주소대역을 딱 막나요?

아님 약간 벗어나서 범위로 막나요?

만약 딱 막는다면 /16 의 산출 법을 좀 알려주세요. 큰도움이 될거 같습니다.

흑.. 주르륵...T_T

Rina의 이미지

210.117.65.1 - 210.117.110.200

C 클래스로 한다면
210.117.65.0/24
210.117.66.0/24
...
210.117.110.0/24

이걸 다 적을 수는 없겠죠..

여러 개의 ip 대역을 하나로 요약할 경우
제일 쉽게 계산하는 방법은 똑같은 부분을 찾는 겁니다..

210.117.01000001.00000000 <- 210.117.65.0
210.117.01101110.00000000 <- 210.117.110.0

210.117.64.0/18 로 하면 되겠네요..
에고 위에 계산 틀렸다..

이 방법이 iptable에도 가능한지 모르겠네요..

----------------------------------------------------------------------------------------------------
Rina's Blog
http://rinapc.com

hotcpu의 이미지

답변 감사합니다. ^^

저도 첨에 계산하니 18이 나오던데요. (욕같네 -_-)

이게 iptables 에서 먹힌다고 생각했는데..

안먹히더군요. 제가 뭘 세팅을 잘못한건지..

룰 옵션등은 맞는데.. 도통.. 서브넷까지 계산해야 하는건지..

분명 32비트에서 계산하면 /18하면 딱 떨어지던데.. 왜 안되는건지..

으흑.. 괴롭습니다. 혹시 아는분 안계신가염? ^^;

hotcpu의 이미지

아..

주소 처음에 지정하는게 잘못되었을수도 있겠네요.

다시한번 연습 좀 하러 가야겠습니다.^^;

근데.. iptables 에서 저게 분명 먹힐건데..

왜 안될까요? 끄응..

203.241.176.0 - 203.241.191.255 까지를 막으려면

표현을 어떻게 해야하는지 아시는분 안계신가요? ^^;;

* 203.241.176.0/20 -- O? OR X? 플리즈~~
* 203.241.175.0/20 -- O? OR X? 플리즈~~

어흑~

주소지정의 표현방식만 좀 알면 좋겠는데 흑..

단풍의 이미지

hotcpu wrote:
아..

주소 처음에 지정하는게 잘못되었을수도 있겠네요.

다시한번 연습 좀 하러 가야겠습니다.^^;

근데.. iptables 에서 저게 분명 먹힐건데..

왜 안될까요? 끄응..

203.241.176.0 - 203.241.191.255 까지를 막으려면

표현을 어떻게 해야하는지 아시는분 안계신가요? ^^;;

* 203.241.176.0/20 -- O? OR X? 플리즈~~
* 203.241.175.0/20 -- O? OR X? 플리즈~~

어흑~

주소지정의 표현방식만 좀 알면 좋겠는데 흑..


    iptables -A INPUT -p all -m iprange --src-range 203.241.176.0-203.241.191.255 -j DROP
iptables 재시작 안하고 하실려면
    iptables -I INPUT -p all -m iprange --src-range 203.241.176.0-203.241.191.255 -j DROP
[/][/]
ydhoney의 이미지

203.241.0.0/255.255.0.0 인데요.

이걸 255.255.0.0을 숫자로 표현하면 되지요.

힌트는 255.255.255.0이 24라는거고..

익명 사용자의 이미지

단풍 wrote:
hotcpu wrote:
아..

주소 처음에 지정하는게 잘못되었을수도 있겠네요.

다시한번 연습 좀 하러 가야겠습니다.^^;

근데.. iptables 에서 저게 분명 먹힐건데..

왜 안될까요? 끄응..

203.241.176.0 - 203.241.191.255 까지를 막으려면

표현을 어떻게 해야하는지 아시는분 안계신가요? ^^;;

* 203.241.176.0/20 -- O? OR X? 플리즈~~
* 203.241.175.0/20 -- O? OR X? 플리즈~~

어흑~

주소지정의 표현방식만 좀 알면 좋겠는데 흑..


    iptables -A INPUT -p all -m iprange --src-range 203.241.176.0-203.241.191.255 -j DROP
iptables 재시작 안하고 하실려면
    iptables -I INPUT -p all -m iprange --src-range 203.241.176.0-203.241.191.255 -j DROP

음~ 그렇게 지정하는군요. 해봤는데 잘 안되는거 같던데.

다시한번 해볼게요. 답변 감사합니다~

[/][/]
익명 사용자의 이미지

해결 잘 된거 같습니다.

답변 주신분들 감사해요. 꾸벅~

익명 사용자의 이미지

ydhoney wrote:
203.241.0.0/255.255.0.0 인데요.

이걸 255.255.0.0을 숫자로 표현하면 되지요.

힌트는 255.255.255.0이 24라는거고..

그 방법은 저도 아는데, iptables 에서의 표현은 그렇게 하니 안되더군요.

그래서 계속 씨름했는데, 다른님이 알려주신게 잘되네요.

모듈중에 iprange 란게 있고, 파라메터에 --src-range 란게 있네요.

이거때문에 온천지를 뒤졌는데.. 어케 안보이더군요.

여튼 감사해요~

익명 사용자의 이미지

단풍님 한가지만 더 질문할게요.

-p all 을 굳이 안써줘도 다 차단이 되는지 해서요.

써주고 안써주고의 차이가 있을지요?

1. iptables -A INPUT -p all -m iprange --src-range 203.241.176.0-203.241.191.255 -j DROP
이건 모든 프로토콜 막는다는거 같고요.

2. iptables -A INPUT -m iprange --src-range 203.241.176.0-203.241.191.255 -j DROP
이렇게 하면 어떻게 되나요? 차이점이 있는지요?

3. iptables -A INPUT -p tcp -m iprange --src-range 203.241.176.0-203.241.191.255 -j DROP
tcp 를 지정했는데, 이 외에 한 라인에 tcp 와 udp 만 지정도 가능한가요?
아니면 tcp, udp 를 막으려면 tcp 지정한 룰하나, udp 지정한 룰하나 이렇게 2라인이 필요한가요?

감사합니다~

elflord의 이미지

210.117.65.1 - 210.117.110.200

이 아이피 어드레스 대역은 C클래스니까 24bit까지는 절대적으로 네트웍주소이고, 고로 서브넷 마스크를 표기하는 아이피/ 이후에 오는 수치도 무조건 24이상이어야 정상적인 표기인 것으로 압니다.


===== ===== ===== ===== =====
그럼 이만 총총...[竹]
http://elflord.egloos.com

젬쑤뇽감의 이미지

Bit 단위 계산법 입니다.

예를 들어,

192.168.0.0 라는 주소는 4바이트, 즉 32비트로 구성 됩니다.

만약 192.168.0.0/24 이렇게 하면 위쪽부터 계산해서

11111111.11111111.1111111.00000000 이 됩니다.

비트마스크와 비슷한 개념으로 즉, 255.255.255.0이 되는 겁니다.

다른예로.. 192.168.0.0/25 하면..

11111111.11111111.1111111.10000000 이 되지요?

이건.. 255.255.255.128이 됩니다.

다르게 이야기 해서, 이렇게 쓰는 방식은 비트마스크를 간략하게

표시하는 형태라고 보시면 되겠습니다. 4자리 숫자에 점까지 찍는것

보다야.. 숫자 딸랑 하나 쓰는게 좋겠죠?

좋은 하루

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.