보안사이트 허용 방화벽 설정
글쓴이: lazycoder / 작성시간: 금, 2007/01/26 - 1:45오후
프록시 서버한대 만들어보려고 삽질중인데 iptables 설정에 문제가 있는듯 합니다.
공유기 - CentOS4.4 (bridge firewall) - 더미허브 - 윈도우 클라이언트
이런 구조를 만들어 놓았고 원하는건 두가지로 간단합니다.
1. 목적지가 80, 8080, 443 포트로 나가는것만 허용.
2. 브라우져에 프록시설정이 안되어있다면 설정안내페이지로 이동 시키기.
1번 문제는 보안사이트중에 소프트포럼이라는 회사의 공인인증서 확인용인 XecureWeb라는 제품을 쓰고 있는데
이 제품이 실행이 안됩니다. 제작사에 물어보니 443포트를 열어주면 된다고 하는데
443포트 설정은 제가 했지요. 근데 뭘 잘못했는지 제가 설정한 iptables 스크립트를 돌려도 안되네요.
iptables 설정은 이렇습니다.
#!/bin/sh
EXTERNAL_INTERFACE="eth0"
LOCAL_INTERFACE="eth1"
INTRANET="192.168.1.0/24"
LOCAL_IPADDR="192.168.1.209"
PRIMARY_NAMESERVER="168.126.63.1"
PRIVPORTS="0:1023" # privileged port range
UNPRIVPORTS="1024:" # unprivileged port range
iptables -F # --flush
iptables -F -t nat
# Remove any existing user-defined chains.
iptables -X # --delete-chain
# Set default policies
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Initial setting for DNAT, PREROUTING
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 \
-m state --state INVALID -j DROP
# DNS (53)
iptables -A FORWARD -p udp -s 0.0.0.0/0 -d $PRIMARY_NAMESERVER --dport 53 -j ACCEPT
# SSH (22)
iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d $LOCAL_IPADDR --dport 22 -j ACCEPT
# HTTP (80)
iptables -A PREROUTING -t nat -s 0.0.0.0/0 -p tcp --dport 80 \
-j DNAT --to-destination $LOCAL_IPADDR
# HTTPS client (443, 8080)
iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 --dport 443 \
-m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 --dport 8080 \
-m state --state NEW,ESTABLISHED -j ACCEPT
# Proxy server (3128)
iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d $LOCAL_IPADDR --dport 3128 -j ACCEPT그리고 lsmod 해서 나오는 내용입니다.
Module Size Used by ipt_REJECT 6721 0 ipt_state 1985 0 ip_conntrack 41077 1 ipt_state iptable_filter 3009 0 ip_tables 17601 3 ipt_REJECT,ipt_state,iptable_filter i915 81605 2 bridge 50521 0 atm 40853 1 bridge md5 4161 1 ipv6 235777 14 dm_mirror 30893 0 dm_mod 59989 1 dm_mirror button 6737 0 battery 9029 0 ac 4933 0 uhci_hcd 31321 0 ehci_hcd 31301 0 snd_azx 18385 3 snd_hda_codec 117953 1 snd_azx snd_pcm_oss 49401 0 snd_mixer_oss 18241 2 snd_pcm_oss snd_pcm 97225 3 snd_azx,snd_hda_codec,snd_pcm_oss snd_timer 30149 1 snd_pcm snd 55973 10 snd_azx,snd_hda_codec,snd_pcm_oss,snd_mixer_oss ,snd_pcm,snd_timer soundcore 10017 2 snd snd_page_alloc 9929 2 snd_azx,snd_pcm 8139too 26177 0 mii 5313 1 8139too tg3 106949 0 floppy 58609 0 ext3 117065 3 jbd 71385 1 ext3 ata_piix 11589 0 libata 66333 1 ata_piix sd_mod 17217 0 scsi_mod 122445 2 libata,sd_mod
이 설정으로 다른 웹사이트는 잘 열립니다.
제가 설정에 문제가 있는것 같다면 코멘트 부탁드립니다.
Forums:
댓글 달기