Re: [KFUG] IPFW2 정책이 안 안먹히네요~

[Pyun YongHyeon <yongari@xxxxxxxxxxx>]

On Sun, Jan 11, 2004 at 09:58:22PM +0900, "박준복" wrote:
 > 

HTML에 base64 encoding 정말 최악입니다. :-(

 > PC에 FreeBSD 4.9, IPFW2 가 설치되어 있습니다.
 > 그리고 다음과 같이 ipfw 정책이 되어 있구요.
 > PC 의 fxp0 에 할당된 IP는 1.1.1.1 이구요. (원래는 다른 IP 인데요.)
 > 
 > 00020 allow ip from any to 1.1.1.1 keep-state
 > 00030 allow ip from 1.1.1.1 to any keep-state
 > 65535 deny ip from any to any
 > 
 > 
 > 위와 같이 되어 있을때, 외부의 다른 PC 에서 해당 FreeBSD PC에 접근이 안됩니다.
 > FreeBSD PC 에서 운영되고 있는 서비는는 ssh, web 입니다.
 > 이 두가지 서비스도 물론 접근이 안되고, ping 을 해도 응답이 없습니다.
 > 
 > 
 > 그런데, 다음과 같이 전체허용 정책을 넣어주면... 접근이 됩니다.
 > 그리고 다시 전체허용 정책을 삭제하면~ 5분정도 잘 되다가 다시 끊어집니다.
 > 
 > 00010 allow ip from any to any
 > 00020 allow ip from any to 1.1.1.1 keep-state
 > 00030 allow ip from 1.1.1.1 to any keep-state
 > 65535 deny ip from any to any
 > 

제가 ipfw를 사용하지 않은지가 너무 오래되서 확실하지는 않습니다만
아마도 'check-state'를 지정하지 않은것 같습니다.
ipfw add check-state
ipfw allow ip from any to 1.1.1.1 keep-state
allow ip from 1.1.1.1 to any keep-state
deny ip from any to any
정도면 되겠습니다.

이렇게 하셔도 아무런 입력없이 접속된 상태를 그냥 두면(예를들면 ssh로 접속)
일정한 시간이 지난후 ipfw에서 접속을 막아버립니다. 이건 ipfw에서 생성한
state가 TCP에서 지정한 Keep Alive time(7200 초)보다 작기 때문입니다. 즉
ipfw가 생성한 state의 expire와 시스템의 TCP expire가 따로 동작하기 때문에
ipfw에서 statefull inspection을 하는건 바람직하지 않은것 같습니다.
(ipfw가 진정한 stateful inspection을 하는지는 또 다른 문제입니다.)

 > 
 > FreeBSD 4.5 에서 IPFW 에서는 문제가 없었던 일이거든요.. ^^;
 > 정책이 좀 이상하다는것은 알지만~ 질문을 위한 예이기때문에~ 이해해 주시구요~
 > 
제가 보기에는 아무런 이상이 없고 너무나 당연한 룰중의 하나입니다.
예를들면 pf나 ipf같으면 특별한 이유가 없는한 항상 stateful inspection
을 하기 때문에 다음과 같은 룰은 너무나 흔합니다.

block in all
block out all
pass in from any to 1.1.1.1 keep-state
pass out from 1.1.1.1 to any keep-state

-- 
Pyun YongHyeon <http://www.kr.freebsd.org/~yongari>
_______________________________________________
한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
questions at kr.FreeBSD.org
http://www.kr.FreeBSD.org/mailman/listinfo/questions