현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

iptables 질문좀 올리겠습니다..

leesh2143의 이미지
글쓴이: leesh2143 / 작성시간: 토, 2017/11/18 - 1:34오전

안녕하세요...

iptables과 관련하여 공부하던중 염치없이 질문을 남깁니다..ㅠ

openwrt를 이용해 공유기를 만들어써보려고 하는데...

이 공유기에 PC A랑 PC B가 연결돼 있습니다..

PC A랑 PC B간에 SMB 포트를 openwrt공유기 단에서 iptables로 막아보려고 하는데...

쉽지가 않네요...ㅠ

iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.1.0/24 --dport 445 -j DROP

iptables -I INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 --dport 445 -j DROP

iptables -I OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 --dport 445 -j DROP

이 외에도 i옵션 o옵션 써서 인터페이스를 lan으로 막아보기도 해봤는데... A <-> B 간에 접속이 너무 잘 되네요...ㅠ

공유기 : 192.168.1.1
PC A : 192.168.1.2
PC C : 192.168.1.3

공유기단에서는 막을수가 없을까요??

Forums: 
설치 및 활용 QnA
백연구원의 이미지

글쓴이: 백연구원 / 작성시간: 월, 2017/11/20 - 11:04오전

openwrt 를 잘 모르는데, 이 공유기가 l2를 수행하는지, l3를 수행하는지 확인하셔야 할 듯합니다. 애초에 netfilter까지 올라가지 않을 수도 있습니다.

소곤소곤

bushi의 이미지

글쓴이: bushi / 작성시간: 월, 2017/11/20 - 8:46오후

iptables 혹은 ip6tables 이전에 포트 번호를 확인하시는게 ?
UDP 137, 138
TCP 137, 139, 445

단순히 DROP 만하면 클라이언트 입장에서 timeout 기다리느라 답답해지니 REJECT 로 넘기면서 ICMP 로 응답해주는 편이 좋습니다.
(마치 호스트 자체가 없는 것 처럼 에뮬레이션해서 보안을 강화시킬 목적이 아니라면 말이죠)

$ iptables -j REJECT --help
...
...
REJECT target options:
--reject-with type              drop input packet and send back
                                a reply packet according to type:
Valid reject types:
    icmp-net-unreachable     	ICMP network unreachable
    net-unreach              	alias
    icmp-host-unreachable    	ICMP host unreachable
    host-unreach             	alias
    icmp-proto-unreachable   	ICMP protocol unreachable
    proto-unreach            	alias
    icmp-port-unreachable    	ICMP port unreachable (default)
    port-unreach             	alias
    icmp-net-prohibited      	ICMP network prohibited
    net-prohib               	alias
    icmp-host-prohibited     	ICMP host prohibited
    host-prohib              	alias
    tcp-reset                	TCP RST packet
    tcp-rst                  	alias
    icmp-admin-prohibited    	ICMP administratively prohibited (*)
    admin-prohib             	alias
 
$ ip6tables -j REJECT --help
...
...
REJECT target options:
--reject-with type              drop input packet and send back
                                a reply packet according to type:
Valid reject types:
    icmp6-no-route           	ICMPv6 no route
    no-route                 	alias
    icmp6-adm-prohibited     	ICMPv6 administratively prohibited
    adm-prohibited           	alias
    icmp6-addr-unreachable   	ICMPv6 address unreachable
    addr-unreach             	alias
    icmp6-port-unreachable   	ICMPv6 port unreachable
    port-unreach             	alias
    tcp-reset                	TCP RST packet
    tcp-reset                	alias
    icmp6-policy-fail        	ICMPv6 policy fail
    policy-fail              	alias
    icmp6-reject-route       	ICMPv6 reject route
    reject-route             	alias

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.