방화벽 정책 예제
예제 1. 10.100.1.10 에 접근하는 모든 외부 사용자가 웹서비스에만 접근 허용
- 10.100.1.10 에서 웹서비스를 제공 중 (10.100.1.10:80 10.100.1.10:443 Listening 상태)
- ‘모든 외부 사용자’ => src ip == any
- 웹서비스 ‘만’ 접근 가능할 것 => dst port가 80, 443인 것은 허용
| Src Ip | Src Port | Dst IP | Dst port | Action |
| Any | Any | 10.100.1.10 | 80,443 | Allow |
| Any | Any | Any | Any | Deny |
➔ 서버로 http request 패킷을 보내는 브라우저는 사용하고 있지 않은 포트 중 랜덤하게 부여함. 따라서 Any.
➔ 웹서버 측 에서는 well-known 포트인 80과 443에 binding을 하여 연결 수립(established)를 기다리는 listening 상태.
예제 2. 10.100.1.11 에서 192.5.90.100 으로의 FTP 서비스가 가능하도록 오픈, 다른 IP 는 FTP 접근 금지
➔ 10.100.1.11에서 FTP 서비스가 가능하도록 오픈, 192.5.90.100에 서비스 제공할거임
= 10.100.1.11 에서 FTP 서버가 동작 중
21/tcp listening , src ip == 192.5.90.100 , dst ip == 10.100.1.11
➔ 다른 IP는 안됨
| Src IP | Src Port | Dst IP | Dst Port | Action |
| 192.5.90.100 | Any | 10.100.1.11 | 21 | Allow |
| Any | Any | Any | Any | Deny |
'K-shield Jr. ' 카테고리의 다른 글
| 리눅스 로그정리_Access.log (0) | 2019.09.02 |
|---|---|
| 리눅스 로그 정리_UTMP/BTMP/WTMP (0) | 2019.09.02 |
| 리눅스 로그 정리 _xperlog (0) | 2019.09.02 |
| XFF (X-Fowarded-For) (0) | 2019.09.02 |
| Nmap Port Scanning (0) | 2019.09.02 |
