Korea FreeBSD Users Group News, Internal, Projects, Home
Software, Support, Documentation

Re: [KFUG] IPFW2 ~


[ ³¯Â¥¼ø »öÀÎ ] [ ´ñ±Û¼ø »öÀÎ ] [ ÃÖ»óÀ§ »öÀÎ] [ °Ë»ö]

[ÀÌÀü ±Û] [´ÙÀ½ ±Û] [ÀÌÀü ´ñ±Û] [´ÙÀ½ ´ñ±Û] 

ipfw면 state관련 옵션은 일단 그거 없이도 동작한 후에 적용해
보세요. 아래같으면 keep-state 명령 없이도 괜찮습니다.

From: Pyun YongHyeon <yongari@xxxxxxxxxxx>
Subject: Re: [KFUG] IPFW2 정책이 안 안먹히네요~
Date: Mon, 12 Jan 2004 11:57:39 +0900

> On Sun, Jan 11, 2004 at 09:58:22PM +0900, "박준복" wrote:
>  > 
> 
> HTML에 base64 encoding 정말 최악입니다. :-(
> 
>  > PC에 FreeBSD 4.9, IPFW2 가 설치되어 있습니다.
>  > 그리고 다음과 같이 ipfw 정책이 되어 있구요.
>  > PC 의 fxp0 에 할당된 IP는 1.1.1.1 이구요. (원래는 다른 IP 인데요.)
>  > 
>  > 00020 allow ip from any to 1.1.1.1 keep-state
>  > 00030 allow ip from 1.1.1.1 to any keep-state
>  > 65535 deny ip from any to any
>  > 
>  > 
>  > 위와 같이 되어 있을때, 외부의 다른 PC 에서 해당 FreeBSD PC에 접근이 안됩니다.
>  > FreeBSD PC 에서 운영되고 있는 서비는는 ssh, web 입니다.
>  > 이 두가지 서비스도 물론 접근이 안되고, ping 을 해도 응답이 없습니다.
>  > 
>  > 
>  > 그런데, 다음과 같이 전체허용 정책을 넣어주면... 접근이 됩니다.
>  > 그리고 다시 전체허용 정책을 삭제하면~ 5분정도 잘 되다가 다시 끊어집니다.
>  > 
>  > 00010 allow ip from any to any
>  > 00020 allow ip from any to 1.1.1.1 keep-state
>  > 00030 allow ip from 1.1.1.1 to any keep-state
>  > 65535 deny ip from any to any
>  > 
> 
> 제가 ipfw를 사용하지 않은지가 너무 오래되서 확실하지는 않습니다만
> 아마도 'check-state'를 지정하지 않은것 같습니다.
> ipfw add check-state
> ipfw allow ip from any to 1.1.1.1 keep-state
> allow ip from 1.1.1.1 to any keep-state
> deny ip from any to any
> 정도면 되겠습니다.
> 
> 이렇게 하셔도 아무런 입력없이 접속된 상태를 그냥 두면(예를들면 ssh로 접속)
> 일정한 시간이 지난후 ipfw에서 접속을 막아버립니다. 이건 ipfw에서 생성한
> state가 TCP에서 지정한 Keep Alive time(7200 초)보다 작기 때문입니다. 즉
> ipfw가 생성한 state의 expire와 시스템의 TCP expire가 따로 동작하기 때문에
> ipfw에서 statefull inspection을 하는건 바람직하지 않은것 같습니다.
> (ipfw가 진정한 stateful inspection을 하는지는 또 다른 문제입니다.)
> 
>  > 
>  > FreeBSD 4.5 에서 IPFW 에서는 문제가 없었던 일이거든요.. ^^;
>  > 정책이 좀 이상하다는것은 알지만~ 질문을 위한 예이기때문에~ 이해해 주시구요~
>  > 
> 제가 보기에는 아무런 이상이 없고 너무나 당연한 룰중의 하나입니다.
> 예를들면 pf나 ipf같으면 특별한 이유가 없는한 항상 stateful inspection
> 을 하기 때문에 다음과 같은 룰은 너무나 흔합니다.
> 
> block in all
> block out all
> pass in from any to 1.1.1.1 keep-state
> pass out from 1.1.1.1 to any keep-state
> 
> -- 
> Pyun YongHyeon <http://www.kr.freebsd.org/~yongari>
> _______________________________________________
> 한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
> questions at kr.FreeBSD.org
> http://www.kr.FreeBSD.org/mailman/listinfo/questions

--
CHOI Junho <http://www.kr.FreeBSD.org/~cjh>     KFUG <cjh at kr.FreeBSD.org>
FreeBSD Project <cjh at FreeBSD.org>        Web Data Bank <cjh at wdb.co.kr>
Key fingerprint = 1369 7374 A45F F41A F3C0  07E3 4A01 C020 E602 60F5
_______________________________________________
한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
questions at kr.FreeBSD.org
http://www.kr.FreeBSD.org/mailman/listinfo/questions
[ ³¯Â¥¼ø »öÀÎ ] [ ´ñ±Û¼ø »öÀÎ ] [ ÃÖ»óÀ§ »öÀÎ] [ °Ë»ö]
Copyright © 1998-2005 Korea FreeBSD Users Group.
All rights reserved. webmaster at kr.FreeBSD.org
$Date: 2004/01/12 12:46:30 $ 		Powered by FreeBSD