KENSEI IT BLOG

iptables-extensions http://ipset.netfilter.org/iptables-extensions.man.html#lbBQ

iptables CT extension CTThe CT target allows to set parameters for a packet or its associated connection. The target attaches a "template" connection tracking entry to the packet, which is then used by the conntrack core when initializing a new ct entry. This target is thus only valid in the "raw" table. --notrackDisables connection tracking for this packet. --helper nameUse the helper identifie..

PPTP 모듈 활성화 modprobe nf_nat_proto_gremodprobe nf_nat_pptpmodprobe nf_conntrack_proto_gremodprobe nf_conntrack_pptp iptables 설정 iptables -t nat -A PREROUTING -d [들어오는아이피] -j DNAT --to-destination [보낼아이피]iptables -t nat -A POSTROUTING -d [보낼아이피] -j SNAT --to-source [변경시킬소스아이피] 1: -d 로 들어오는 연결을 --to-destin~ 아이피로 보내라2: 아이피를 보낼때 소스아이피는 이걸로 해서 보내라

connlimit Allows you to restrict the number of parallel connections to a server per client IP address (or client address block). 각 클라이언트 IP당 병렬연결의 수를 제한할수 있다? 각 소스아이피를 하나하나 일일이 제어(매칭)가능하다라는 의미일듯 [!] --connlimit-above n Match if the number of existing connections is (not) above n. n개수만큼의 접근의 시도를 매칭 초당 몇개 이상 접속시도가 들어오면 어떻게 하라나는식으로 매칭이 가능하다라는 의미일듯 --connlimit-mask prefix_length Group hosts using th..

왜 설치 하는가? geoip 는 해당 국가별로 IP정보를 가지고 있는 일종의 DB이다iptables과 연동하여 나라별로 설정이 가능하다 예를 들면 한국만 허용, 미국은 허용, 북한은 차단?, 일본은 차단, 이런식의 설정이 가능하다다 ipset 은 아이피들의 집합적인 개념이다WHITE_IP = (자기집 아이피, 사무실아이피, 친척아이피)BLACK_IP = (해커아이피, 192.168.0.1, 192.168.10.10) 위와 같이 네임셋 (WHITE_IP, BLACK_IP) 라는 이름으로 지정하여 네임셋에 아이피들을 넣거나 삭제하거나 리스트를 보거나 어떠한 액션을 취할수 있다. ex) 아래와 같이 방화벽 설정이 가능하다iptables -A INPUT -m set --set WHITE_IP -j ACCEPTi..