Ä¿ÇǴнº, ½Ã½ºÅÛ ¿£Áö´Ï¾îÀÇ ½°ÅÍ Ä¿ÇÇÇâÀÌ ³ª´Â *NIX
Ä¿ÇǴнº
½Ã½ºÅÛ/³×Æ®¿÷/º¸¾ÈÀ» ´Ù·ç´Â °÷
* HanIRCÀÇ #coffeenix ¹æ
[ Àåºñ ¹× ȸ¼± ÈÄ¿ø ]
HOME > º¸¾È(security) > ¹æÈ­º®, ÆÐŶ ÇÊÅ͸µ / IDS µµ¿ò¸»
°Ë»ö : »çÀÌÆ® WHOIS À¥¼­¹ö Á¾·ù


  IPFW How-To ¹ø¿ª ¹®¼­ - part 2 (¹Ì¿Ï¼º) (±Û Daemonize) ÀÛ¼ºÀÏ : 2005/01/17 23:51
 
  • ±Û¾´ÀÌ : ÁÁÀºÁøÈ£ ( http://coffeenix.net/ )
  • Á¶È¸¼ö : 7254
          [ ÀÌÀüÈ­¸é / ¼öÁ¤ ]   ºñ¹Ð¹øÈ£ :     Àμâ¿ë È­¸é
      ------------------------------------------------------------------------
    Ãâó : http://www.optro.co.kr/~silpapa/?page=view&ctn=tips&id=222&num=0
    Á¦¸ñ: IPFW How-to ¹ø¿ª¹®¼­ - part 2 (¹Ì¿Ï¼º)
    ±Û¾´ÀÌ: µ©¿À³ªÀÌÁî [ȨÆäÀÌÁö] ¡¡¡¡¡¡±Û¾´½Ã°£: 04/02/27 17:40 ¡¡¡¡¡¡ÀÐÀº¼ö: 67
    ------------------------------------------------------------------------

    Stateless ¿Í Stateful ¿¡ ´ëÇÑ ¿ë¾î°¡ ¸¶¶¥Ä¡ ¾Ê¾Æ¼­ Á¦°¡ ÀÌÇØÇÑ µ¥·Î
    ÀÓÀÇ·Î ¹ø¿ªÇß½À´Ï´Ù. Á¤È®ÇÑ ¿ë¾î¸¦ ¾Ë°í °è½Å ºÐÀº Á» °¡¸£ÃÄ ÁÖ¼¼¿ä.
    ±×·¯°í º¸´Ï Á¦°¡ ÀÓÀÇ·Î ¹ø¿ªÇÑ ¸»µéÀÌ ²Ï ¤Ô¤§¤É¤²´Ï´Ù.
    °íÁ¤, °¡º¯ ¾²´Ùº¸´Ï ´õ Çò°¥¸®³×¿ä. ±×³É ¾µ °É.. ¤»..
    ³ªÁß¿¡ ¸¾¿¡ ¾Èµé¸é ¼öÁ¤ÇÏ°Ú½À´Ï´Ù.

    Stateless - °íÁ¤Àû Stateful - °¡º¯Àû Dynamically - µ¿Àû Statically - Á¤Àû

    ------------------------------------------------------------------------------

    5. Logging (·Î±× ³²±â±â)

    5.1. Logging Issues (·Î±ëÀÇ Àå´ÜÁ¡)

    ·Î±×ÀÇ ÀåÁ¡Àº ¶Ñ·ÇÇÕ´Ï´Ù. °ú°Å¿¡ ¾î¶² ¿¬°áÀÌ ²÷°å´ÂÁö, ±× ¿¬°áÀÌ ¾îµð¼­ ºñ·ÔµÆ´ÂÁö, ¾îµð·Î ÇâÇÏ°í ÀÖ¾ú´ÂÁö, ´ë·®ÀÇ Á¶°¢³­ ÆÐŶÀ¸·Î ÀÌ·ç¾îÁ³´ÂÁö ( ´ëºÎºÐ Dos °ø°ÝÀ» °¡¸®Åµ´Ï´Ù.) µîµîÀÇ Áö½ÄÀº »ç¿ëÀÚ¿¡°Ô ¾îµð¿¡¼­ ´©±¸¿¡ ÀÇÇØ ¾ðÁ¦ ¿¬°áÀÌ ¼º¸³µÇ¾ú´ÂÁö Áß¿äÇÑ Á¤º¸¸¦ °¡¸£ÃÄ ÁÝ´Ï´Ù. Ưº°È÷ Å©·¡Ä¿ µîµîÀÇ °ÍµéÀ» ÃßÀûÇÒ °æ¿ì, ¹æÈ­º® ±â·ÏÀº °¡Àå Áß¿äÇÑ Á¤º¸°¡ µË´Ï´Ù.

    ·Î±ë(logging)Àº ¶ÇÇÑ ´ÜÁ¡µµ °¡Áö°í ÀÖ½À´Ï´Ù. ÁÖÀÇÇÏÁö ¾Ê´Â´Ù¸é ¼ö¸¹Àº µ¥ÀÌÅͼӿ¡¼­ »ç¿ëÀÚ ÀÚ½ÅÀÌ È¥¶õ½º·¯¿öÁú ¼ö ÀÖ°í (·Î±×¸¦ ºÐ¼®ÇÏ´Â ´É·Â ºÎÁ·À¸·Î ÀÎÇØ) ·Î±× ÆÄÀÏ·Î ÇÏµå µð½ºÅ©¸¦ ³¶ºñÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. DoS °ø°Ý¿¡ ÀÇÇÑ Çϵåµð½ºÅ©ÀÇ ¿ë·® ºÎÁ·Àº °¡Àå ¿À·¡µÈ ¼ö¹ý Áß ÇϳªÀÌ°í, ¿©ÀüÈ÷ ½ÅÁßÄ¡ ¸øÇÑ °ü¸®ÀÚ¿¡°Ô À§ÇèÇÕ´Ï´Ù. ±×°ÍÀº À߸ø ¼³Á¤µÈ À̸ÞÀÏ ¼­¹ö¸¦ °ø°ÝÇϱ⵵ ÇÏÁö¸¸ ´Ù¾çÇÑ ·Î±× µ¥ÀÌÅ͸¦ ³²±â´Â ¾î¶°ÇÑ ½Ã½ºÅÛ¿¡°Ôµµ À§ÇùÀÌ µË´Ï´Ù. ·Î±×°¡ ¹«ÇÑÁ¤ Ä¿ÁöÁö ¾Êµµ·Ï ÃæºÐÇÑ Çϵåµð½ºÅ©¸¦ °¡Áö°í ·Î±×¸¦ ½ÅÁßÈ÷ ¼øȯ½ÃÅ°´Â °ÍÀÌ Áß¿äÇÕ´Ï´Ù.

    ÇÑÆí, ¸¹Àº Ãʺ¸ÀÚµéÀÌ, ipfirewall(4)ÀÇ ·Î±ë ±â´ÉÀ» È°¼ºÈ­½ÃÄ×À» ¶§ Å͹̳ÎÀÌ ÆÐŶ µ¿ÀÛ¿¡ °üÇÑ Á¤º¸·Î ²Ë Â÷´Â ÀÏÀ» °æÇèÇÕ´Ï´Ù. ÀÌ°ÍÀº ´ÙÀ½°ú °°Àº °ÍÀÌ Á¶ÇÕµÇ¾î ³ªÅ¸³ª´Â °ÍÀÌÁÒ.

    - ³Ê¹«³ª ¸¹Àº ¸ÅÄ¡ ±â·ÏÀ» ·Î±×·Î ³²±â±â
    - ·Î±× ±â·ÏÀ» ÄܼÖÀ̳ª ·çÆ® Å͹̳ο¡ Ãâ·ÂÇÏ´Â °É °¡´ÉÇÏ°Ô ÇÑ °Í (ÁÁÁö ¾ÊÀº »ý°¢ÀÔ´Ï´Ù.)
    - IPFIREWALL_VERBOSE_LIMIT ¿¡ ÀÇÇØ ·Î±×¸¦ Á¶ÀýÇÏÁö ¾ÊÀº °Í

    5.2 System Logging Configuration (½Ã½ºÅÛ ·Î±× ¼³Á¤)

    5.2.1 Kernel Options (Ä¿³Î ¿É¼Ç)

    FreeBSD ¿¡¼­ ipfirewall(4) ·Î±ëÀ» °¡´ÉÇÏ°Ô ÇÏ·Á¸é, Àû¾îµµ ´ÙÀ½ÀÇ ¿É¼ÇÀ» Ä¿³Î¿¡ Ãß°¡ÇØ¾ß ÇÕ´Ï´Ù. (Ä¿³ÎÀ» »õ·Î ºôµåÇÑ ÈÄ ÀçºÎÆà ÇØ¾ß ÇÔÀ» ÀØÁö ¸¶¼¼¿ä)

    options IPFIREWALL_VERBOSE

    Ãß°¡·Î, ´ÙÀ½ÀÇ ¿É¼Çµµ È°¼ºÈ­ÇÒ ¼ö ÀÖ½À´Ï´Ù.

    options IPFIREWALL_VERBOSE_LIMIT=#

    ¿ì¸®´Â ÀÌ¹Ì ¹æÈ­º® µ¿ÀÛ¿¡ °üÇØ ¼³¸íÇÒ ¶§ ÀÌ ¿É¼ÇÀ» ´Ù·ç¾ú½À´Ï´Ù. ÀÌ Ä¿³Î ¿É¼ÇÀº  ½Ã½ºÅÛ ·Î±× °ü¸®ÀÚÀÎ syslogd(8) ¿¡ ÁÖ¾îÁø ·êÀÇ µ¿ÀÛ°ú °ü·ÃÇÏ¿© ÀüÇØÁÙ ¿¬¼ÓÀû ¸Þ½ÃÁö ¼ýÀÚ¸¦ ÇÑÁ¤ÇÕ´Ï´Ù. ÀÌ ¿É¼ÇÀÌ Ä¿³Î¿¡ È°¼ºÈ­ µÇ¾î ÀÖ´Ù¸é, ƯÁ¤ ¿¬°á¿¡ °üÇÑ ¿¬¼ÓÀû ¸Þ½ÃÁöÀÇ ¼ö´Â Á¤ÇØÁø ¼ö¸¦ ³ÑÁö ¾Ê½À´Ï´Ù. ¿¹¸¦ µé¾î, ´ÙÀ½À» °¡Á¤ÇØ º¾½Ã´Ù.

    options IPFIREWALL_VERBOSE_LIMIT=10

    ÀÌ ¿É¼ÇÀ¸·Î, ƯÁ¤ ¿¬°á¿¡ ´ëÇØ ¿À·ÎÁö 10°³ÀÇ ÀÏ·ÃÀÇ ¸Þ½ÃÁö¸¸ÀÌ syslogd(8)¿¡ ±â·ÏµÇ°í, ³ª¸ÓÁö´Â ´ÙÀ½°ú °°Àº ÀϹÝÀû ¸Þ½ÃÁö·Î ³ªÅ¸³³´Ï´Ù.

    Jan 29 03:26:55 myserver last message repeated 45 times

    ÀÌ ¸Þ½ÃÁö´Â Äְܼú ´õºÒ¾î /var/log/messages ¿¡ ÀϹÝÀûÀ¸·Î ±â·ÏµË´Ï´Ù. ÀÌ·¯ÇÑ ¼³Á¤À» ¼öÁ¤ÇÏ°í ½Í´Ù¸é, /etc/syslog.conf ¸¦ ¼öÁ¤ÇØ¾ß ÇÕ´Ï´Ù. syslog.conf(5)´Â syslogd(8)°¡ ¾î¶»°Ô ½Ã½ºÅÛ ¸Þ½ÃÁöµéÀ» ´Ù·ê °ÍÀÎÁö¿¡ ´ëÇØ »ó´çÇÑ Á¤µµÀÇ À¯¿¬¼ºÀ» Á¦°øÇÕ´Ï´Ù. IPFIREWALL_VERBOSE_LIMIT ¸¦ ¾î¶»°Ô Á¤ÇÒ °ÍÀÎÁö´Â °ü¸®ÀÚ¿¡°Ô ´Þ·Á ÀÖÀ¸³ª,È¥ÀâÇÑ ¼­¹ö¿¡ 10À̳ª ±× ÀÌ»óÀÇ °ªÀ» ¼³Á¤ÇÏ´Â °ÍÀº ÄܼÖÀ» »ó´çÈ÷ ä¿ì°Ô µË´Ï´Ù. ¹Ý¸é¿¡, Ä¿³Î ¸Þ½ÃÁö¸¦ Äֿܼ¡ ³»º¸³»Áö ¾Ê°í ¸ðµç °ÍÀ» µû·Î ÆÄÀÏ (±âº» ¼³Á¤ÀÎ /var/log/messages °¡ ¾Æ´Ñ) ¿¡ ±â·ÏÇÏ°íÀÚ ÇÏ´Â °Íµµ °¡´ÉÇÕ´Ï´Ù. È®½ÇÈ÷, ÀÌ·¯ÇÑ ¼³Á¤ÇÏ¿¡¼­ Çϵ尡 ÃæºÐÇÏ°í ·Î±× ¼øȯÀ¸·Î ÀÎÇØ °£°áÇÑ ±â·Ï¸¸À» ³²±ä´Ù¸é IPFIREWALL_VERBOSE_LIMIT ¸¦ Á¤ÇÒ ÇÊ¿ä´Â ¾ø½À´Ï´Ù.


    5.2.2. Configuring syslog(8) for Logging (·Î±×¸¦ À§ÇØ syslog ¼³Á¤Çϱâ

    ¼¼°¡Áö °£ÆíÇÑ ÀýÂ÷¸¦ °ÅÃÄ »ç¿ëÀÚ´Â syslogd(8)ÀÌ ipfirewall(4) ¸Þ½ÃÁö¸¦ µû·Î ÆÄÀÏ Çϳª¿¡ ±â·ÏÇÏ°Ô ÇÒ ¼ö ÀÖ½À´Ï´Ù.

    1) ¿ì¼± ·Î±× ÆÄÀÏÀ» Çϳª ¸¸µé°í ·Î±× µð·ºÅ丮¸¦ ¸¸µå½Ê½Ã¿ä. ¿¹¸¦ µé¾î, ipfirewall(4) ·Î±×¸¦ /var/log/ipfw/ ¿¡ ³²±â°íÀÚ ÇÑ´Ù¸é, ±× µð·ºÅ丮¸¦ ¸¸µé°í, ±× ¾È¿¡ ·Î±× ÆÄÀÏÀ» »ý¼ºÇϽʽÿä. ¿¹¸¦ µé¾î, ipfw.log ¶ó°í Çصµ µË´Ï´Ù. touch(1) ¸í·ÉÀ» »ç¿ëÇØ ½±°Ô ÀÌ·¯ÇÑ ÀÛ¾÷À» ÇÒ ¼ö ÀÖ½À´Ï´Ù.

    (root@nu)~>#  mkdir /var/log/ipfw && touch  /var/log/ipfw/ipfw.log
    (root@nu)~>#

    ´Ù¸¥ À¯ÀúµéÀÌ ¼öÁ¤ÇÒ ¼ö ¾øµµ·Ï ±× µð·ºÅ丮¿Í ÆÄÀÏ¿¡ ´ëÇØ Àб⠱ÇÇÑÀ» ÁÖÁö ¸¶½Ê½Ã¿ä. (make not world-readable)

    2) ipfirwall(4) ¸Þ½ÃÁö¸¦ /var/log/ipfw/ipfw.log ¿¡ ±â·ÏÇÒ ¼ö ÀÖµµ·Ï, syslog.conf(5) ¸¦ ¼öÁ¤Çϼ¼¿ä. ´ëºÎºÐÀÇ ±âº» ¼³Á¤¿¡¼­, ´ÙÀ½°ú °°Àº µÎ ¶óÀÎÀ» syslog.conf(5) ÀÇ ÇÏ´Ü¿¡ Ãß°¡ÇÔÀ¸·Î½á ½±°Ô ÇÒ ¼ö ÀÖ½À´Ï´Ù.

    !ipfw
    *.*¡¡¡¡¡¡/var/log/ipfw/ipfw.log

    ÀÌ ÆÄÀÏ¿¡¼­ ½ºÆäÀ̽ºÅ°¸¦ »ç¿ëÇÏÁö ¸»°í ÅÇÅ°¸¦ »ç¿ëÇØ¾ß ÇÑ´Ù´Â °Í¿¡ ÁÖÀÇÇϽʽÿä. FreeBSD syslog.conf ¿¡ ÅÇÀÌ ÇʼöÀûÀÌÁø ¾ÊÁö¸¸, ½ºÆäÀ̽º¸¦ syslog.conf(5) ¿¡¼­ ¹Þ¾ÆµéÀÌÁö ¾Ê´Â ´Ù¸¥ À¯´Ð½º ½Ã½ºÅÛÀ» ´Ù·ë¿¡ ÀÖ¾î ÀÌ°ÍÀº ÁÁÀº ¿¬½ÀÀÌ µÉ °ÍÀÔ´Ï´Ù. ±×·¡¼­, /etc/syslog.conf ÆÄÀÏÀÇ »ó´Ü¿¡ ÀÖ´Â À§Çù¼º ¸Þ½ÃÁö¸¦ ¹«½ÃÇÒ ¼ö ÀÖ´Ù ÇÏ´õ¶óµµ, ¾ÈÀüÇÑ ¹ö¸©À» µéÀ̱â À§ÇØ ±×·¯ÇÑ ±ÔÄ¢À» ÁؼöÇÏ´Â°Ô Çö¸íÇÕ´Ï´Ù.

    "last messages repeated #" ¸Þ½ÃÁöµµ ±× ÆÄÀÏ¿¡ ±â·ÏµÊ¿¡ À¯ÀÇÇϽʽÿä. ±×¸®°í syslog.conf(5) ¿¡ *.err,kern.debug, *.notice ¸Þ½ÃÁö¸¦ ±â·ÏÇϵµ·Ï ÇÑ ´Ù¸¥ ÀÓÀÇÀÇ ÆÄÀÏ¿¡µµ ±â·ÏÀÌ ³²°ÜÁý´Ï´Ù. µ¡ºÙ¿© Äֵܼµ ´ÙÀ½°ú °°ÀÌ Á¤ÀǵǾî ÀÖ´Ù¸é ¸Þ½ÃÁö¸¦ Ãâ·ÂÇÒ °ÍÀÔ´Ï´Ù.

    *.err;kern.debug;auth.notice;mail.crit¡¡¡¡¡¡/dev/console

    console ÀÌ ttyv0 (ALT + F1) ÀÓÀ» ±â¾ïÇϼ¼¿ä. °¡»ó Å͹̳Π(Virtual and pseudo terminals) ¿¡ ¸Þ½ÃÁö¸¦ ³²±â´Â °ÍÀº ¶Ç ´Ù¸¨´Ï´Ù. °¡»ó Å͹̳ÎÀº ±âº» ¼³Á¤ÀÇ syslog.conf(5) ÆÄÀÏ¿¡ ´ÙÀ½ ¶óÀεé·Î ÄÁÆ®·ÑµË´Ï´Ù.

    *.err¡¡¡¡¡¡root
    *.notice;news.err¡¡¡¡¡¡root
    *.alertA¡¡¡¡¡¡root
    *.emerg¡¡¡¡¡¡ *

    *.err °ú *.notice ¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Â µÎ ¶óÀÎ ¸ðµÎ ·ê ¸ÅÄ¡¿Í °ü·ÃµÈ Ä¿³Î ¸Þ½ÃÁö¸¦ ±× ±Ç¸®¿¡ ºÎÇÕÇÏ´Â À¯Àú°¡ ·Î±×ÀÎÇÑ Å͹̳ο¡ Ãâ·ÂÇÒ °ÍÀÔ´Ï´Ù. ÀÌ À¯Àú°¡ root ÀÓÀ» ¸í½ÉÇϼ¼¿ä. ¼º°¡½Å ¸Þ½ÃÁöµéÀ» ÇÇÇÏ´Â °¡Àå ÁÁÀº ¹æ¹ýÀº º¸Åë ·çÆ®·Î ·Î±×ÀÎ ÇÏÁö ¾Ê´Â °ÍÀÔ´Ï´Ù. ¿ª½Ã ·çÆ®·Î ·Î±×ÀÎ ÇÏ¿© su ¸¦ ÅëÇØ ´Ù¸¥ À¯Àú·Î »ç¿ëÇÏ´Â ¹æ¹ýÀº ¸Þ½ÃÁöµéÀ» ¸·À» ¼ö ¾ø½À´Ï´Ù. À§ ¶óÀεéÀ» ÁÖ¼®Ã³¸® ÇÏÁö ¾Êµµ·Ï °­·ÂÈ÷ ±ÇÀåÇÏ´Â ¹ÙÀÔ´Ï´Ù.
    ±×·¯ÇÑ ¸Þ½ÃÁöµéÀ» ·çÆ®°¡ ·Î±×ÀÎÇÑ Å͹̳ο¡ »Ñ¸®´Â °ÍÀº À߸øµÈ ÀÏÀÌ ÀϾ °¡´É¼ºÀ» ºü¸£°Ô ÀνÄÇÏ´Â À¯¿ëÇÑ ¹æ¹ýÀÔ´Ï´Ù. Á¤¸»·Î ¸Þ½ÃÁöµéÀ» »ç¿ëÀÚ°¡ ÀÚÁÖ ¾²´Â UID ·Î ·Î±×Çϵµ·Ï ¿øÇÒ ¼öµµ ÀÖ½À´Ï´Ù. ±×·¸´ã ´ë½Å ·êÀ» ÀûÀýÈ÷ ¼¼¿ö¼­, Á¤¸»·Î Áß¿äÇÑ ·ê ¸ÅÄ¡¸¸ ±â·ÏµÇ°í ·çÆ® ¸»°í ´ç½ÅÀÇ °³ÀÎ °èÁ¤À¸·Î ·Î±×ÀÎÇϽʽÿä. ·çÆ®·Î ·Î±×ÀÎÇÑ ¿©ºÐÀÇ °¡»ó Å͹̳ÎÀ» À¯ÁöÇÏ°í ÁÖ±âÀûÀ¸·Î üũÇϽʽÿä.

    Á¾ÇÕÇϸé, syslog.conf(5) ¼³Á¤°ú Å͹̳ΠÃâ·ÂÀ» ´Ù·ê ¶§¿¡´Â (when dealing with syslogconf and terminal notification) :

    - ÈÄ¿¡ ½¬¿î °ËÅ並 À§ÇØ ·ê ¸ÅÄ¡ ¸Þ½ÃÁö¸¦ ´Ù¸¥ ÆÄÀÏ¿¡ ±â·ÏÇϱâ À§ÇØ À§¿¡¼­ ¾ð±ÞÇÑ µÎ ¶óÀÎÀ» syslog.conf(5) ¿¡ Ãß°¡ÇϽʽÿä.
    - ·çÆ® Å͹̳Π¸Þ½ÃÁö¿¡ ´ëÇØ °ÆÁ¤ÇÏÁö ¸¶½Ã°í ´ç½ÅÀÇ ÀÏ»óÀû ÇൿÀ» root ·Î ÇÏÁö ¸¶¼¼¿ä. ÀÌ°ÍÀº ¸ðµç º¸¾È ¾îµå¹ÙÀ̽º (advice) ¿¡ °øÅëµÈ »çÇ×ÀÔ´Ï´Ù. ´ë½Å, ·çÆ®·Î ·Î±×ÀÎÇÑ ¿©ºÐÀÇ Å͹̳ÎÀ» ¸¸µé°í ±×°ÍÀ» ÁÖ±âÀûÀ¸·Î üũÇϽʽÿä.

    3) syslogd(8) ÇÁ·Î¼¼½º¿¡ Hangup ½Ã±×³ÎÀ» º¸³»½Ê½Ã¿ä. °¡Àå °£ÆíÇÑ ¹æ¹ýÀº ´ÙÀ½ ¸í·ÉÀÔ´Ï´Ù.

    (root@nu)~># killall -HUP syslogd
    (root@nu)~>#

    5.2.3. Configuring newsyslog(8) for Log Rotation (·Î±× ¼øȯÀ» À§ÇÑ newsyslog ¼³Á¤)

    ÀÌÁ¦ ipfirewall(4) ·Î±× ±â´ÉÀÌ È°¼ºÈ­ µÇ¾úÀ¸¹Ç·Î, ·Î±× ¼øȯÀ» À§ÇØ newsyslog.conf(5) ¸¦ ¼³Á¤ÇØ¾ß ÇÕ´Ï´Ù. ȤÀº ´Ù¸¥ ¹æ¹ýÀ¸·Î, ´Ù¸¥ ·Î±× ¼øȯ ¸ÞÄ¿´ÏÁòÀ» »ç¿ëÇϼ¼¿ä. ¸ðµç °¡´ÉÇÑ ¼³Á¤ ¿É¼Ç¿¡ ´ëÇÑ ¼³¸íÀºnewsyslog.conf(5) ¸Å´º¾ó ÆäÀÌÁö¸¦ Âü°íÇÏ½Ã¸é µË´Ï´Ù. ÇÏÁö¸¸, ´ÙÀ½ÀÇ ¿£Æ®¸®°¡ ´ëºÎºÐÀÇ °æ¿ì¿£ ÃæºÐÇÒ °ÍÀÔ´Ï´Ù. ( ÀÌ ¿¹¿¡¼­, ¿¹·Îµç ·Î±× ÆÄÀϸíÀº Àü¿¡ ¸»Çß´ø À̸§À» »ç¿ëÇÕ´Ï´Ù.)

    /var/log/ipfw/ipfw.log¡¡¡¡¡¡600 10 * $W0D2 Z

    ÀÌ ¿£Æ®¸®´Â newsyslog.conf(5) ÆÄÀÏ ÇÏ´Ü¿¡ µ¡ºÙÀÔ´Ï´Ù. óÀ½ ºÎºÐÀº ¸» ±×´ë·Î ÀÔ´Ï´Ù. µÎ¹ø° ºÎºÐÀº ¼øȯµÈ ÆÄÀÏ (rotated file) ÀÇ ±ÇÇÑÀ» ¼³Á¤ÇÑ ºÎºÐÀÔ´Ï´Ù. ¼¼¹ø°´Â °¡Àå ¿À·¡µÈ ÆÄÀÏÀÌ Áö¿öÁú ¶§±îÁö ¼øȯÀ» À¯ÁöÇÒ ÆÄÀÏ (keep rotating files) ÀÇ °³¼öÀÔ´Ï´Ù. ³×¹ø°´Â ƯÁ¤ÇÑ ¼ýÀÚ ´ë½Å ¿ÍÀϵå Ä«µåÀε¥ ÀÌ°ÍÀº ÆÄÀϵéÀ» ¼øȯÇϱâÀ§ÇÑ ½ÅÈ£·Î ¾²¿©Áú °ÍÀÔ´Ï´Ù. ´Ù¼¸¹ø° ºÎºÐÀº ·Î±×µéÀ» ¼øȯÇÒ ½Ã°£´ë ÀÌ°í ¿©¼¸¹ø° ºÎºÐÀº Ưº°ÇÑ ¿É¼ÇÀÔ´Ï´Ù. ¹ú½á ÃßÃøÇϽŠºÐµéµµ ÀÖ°ÚÁö¸¸, ·Î±× ¼øȯÀº µÎ °¡Áö ±âÁØÀÎ Å©±â (size) ¿Í ½Ã°£´ë (time/date) Áß Çϳª¿¡ ÀÇÇØ ÀÌ·ç¾îÁý´Ï´Ù. ¿ì¸®´Â ½Ã°£´ë ´ë½Å, ÆÄÀÏÀÌ Æ¯Á¤ÇÑ Å©±â¿¡ ´Ù´Ù¸£¸é ·Î±×¸¦ ¼øȯ½ÃÄÑÁÖ´Â ¹æ¹ýÀ» »ç¿ëÇÒ ¼öµµ ÀÖ½À´Ï´Ù. À§ ¿£Æ®¸®¿¡¼­´Â ¿ì¸®´Â ½Ã°£´ë (time/date) ¹æ¹ýÀ» »ç¿ëÇß½À´Ï´Ù. ·Î±×¸¦ ¼øȯÇÔ¿¡ ÀÖ¾î, ¸Å ÀÏ¿äÀÏ ¾Æħ 2 AM ¿¡ ·Î±×¸¦ ¼øȯÇϵµ·Ï ÇÏ°í, (Z ¿É¼Ç¿¡ ÀÇÇØ) gzip(1) À¸·Î ¾ÐÃàÇϵµ·Ï Çß½À´Ï´Ù. ÀÌ ¶§ ¿À·ÎÁö 10°³ÀÇ ¾ÐÃà ÆÄÀϸ¸ Çã¶ô Çϵµ·Ï Çß½À´Ï´Ù.
    (10 ÁÖ ºÐ·®). ¸¸¾à À̰ͺ¸´Ù ±ä ±â°£µ¿¾È ·Î±×¸¦ À¯ÁöÇÏ°íÀÚ ÇÑ´Ù¸é, ¼¼¹ø° ÀÎÀÚÀÎ 10 ¸¸ ¿øÇÏ´Â °ÍÀ¸·Î ¹Ù²ãÁÖ¸é µË´Ï´Ù.

    ÀÏ´Ü newsyslog.conf(5) ÆÄÀÏÀÌ ¼³Á¤µÇ¾ú´Ù¸é, ·Î±× ¼øȯ (log rotation) Àº ¸ðµÎ µÈ °Ì´Ï´Ù. newsyslog(8)Àº cron(8)¿¡ ÀÇÇØ ±¸µ¿µÇ´Â ÇÁ·Î±×·¥À̱⿡, syslogd(8)¿¡ ÇÊ¿äÇÑ Hangup ½Ã±×³ÎÀ» º¸³¾ µ¥¸óÀÌ ÇÊ¿ä¾ø½À´Ï´Ù. ·Î±× ¼øȯÀ» Çϱâ À§ÇØ ´Ù¸¥ ¹æ¹ýµéÀÌ ÀÖ½À´Ï´Ù. »ç¿ëÀÚ°¡ ÀڽŸ¸ÀÇ ·Î±× ¼øȯ ½ºÅ©¸³Æ®¸¦ ÀÛ¼ºÇÏ¿© ±¸µ¿½Ãų ¼ö ÀÖ°í, ȤÀº ÁÁ´Ù°í »ý°¢Çϴ ģ±¸ÀÇ °ÍÀ» »ç¿ëÇصµ µË´Ï´Ù. ¾î¶µç°£¿¡, ÀáÀçÀûÀ¸·Î Ä¿´Ù¶þ°Ô µÉ ¼ö ÀÖ´Â ·Î±× ÆÄÀϵ鿡 °üÇؼ­, ¾ÐÃàÀ» ÇÏ°í ±×µéÀÇ Å©±â¸¦ Á¶ÀýÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀÌ ÀÖ´Ù´Â °ÍÀ» ¾Æ´Â °ÍÀÌ Áß¿äÇÕ´Ï´Ù.

    5.3. Rule Logging Configuration

    ÀÏ´Ü ½Ã½ºÅÛÀÌ ipfirewall(4) ·Î±ëÀ» ´Ù·ê ¼ö ÀÖ°Ô ¿Ïº®È÷ ¼³Á¤µÇ¾ú´Ù¸é, ¾î¶°ÇÑ ·êÀ» ¾ðÁ¦ ¸ÅÄ¡µÇ¾úÀ» ¶§ ·Î±×·Î ³²°Ü¾ß Çϴ°¡¸¦ ¸íÈ®È÷ ÇØ¾ß ÇÕ´Ï´Ù. ÁÖ¾îÁø ·ê¿¡ ´ëÇØ ·Î±ëÀ» °¡´ÉÄÉÇϱâ À§ÇØ ·ê Á¤º¸¿Í ¿¬°üµÇ¾î »ç¿ëµÇ´Â ÀÎÀÚµé (parameters) ÀÌ °£´ÜÈ÷ µÎ°³°¡ ÀÖ½À´Ï´Ù. ±×°ÍµéÀº :

    "log" - ÀÌ Å°¿öµå¸¦ Æ÷ÇÔÇÏ´Â ·êÀÌ ÆÐŶ¿¡ ÀÇÇØ ¸ÅÄ¡°¡ µÇ¸é ±â·ÏÇÕ´Ï´Ù. ÀÌ Å°¿öµå´Â ¹Ýµå½Ã "action" µÚ¿¡ ¿Í¾ß ÇÕ´Ï´Ù. ´ÙÀ½°ú °°Àº ±¤¹üÀ§ÇÑ (wide sweeping) ·ê¿¡ ÀÌ Å°¿öµå¸¦ »ç¿ëÇÏÁö ¾Êµµ·Ï ÁÖÀÇÇÏ¼Å¾ß ÇÕ´Ï´Ù.

    add 0500 allow log all from any to any

    ÀÌ ·êÀÌÀü¿¡ ±¤¹üÀ§ÇÑ ÇÊÅ͸µÀÌ ¾ø´Ù¸é, ´ëºÎºÐÀÇ Æ®·¡ÇÈÀÌ ÀÌ ·ê¿¡ ¸ÅÄ¡µÇ¾î, »ç¿ëÀÚÀÇ ·Î±× ÆÄÀÏÀº ¸Å¿ì ºü¸£°Ô ±Þ°ÝÈ÷ Ä¿Áú °ÍÀÔ´Ï´Ù. ¹Ý¸é¿¡ ´ÙÀ½°ú °°Àº ±¤¹üÀ§ÇÏ°Ô °ÅºÎÇÏ´Â (sweeping deny rule) ·ê¿¡ ´ëÇØ ·Î±×¸¦ È°¼ºÈ­ ½ÃÅ°´Â °ÍÀº »ó´çÈ÷ ¾ÈÀüÇÕ´Ï´Ù.

    add 65000 deny log all from any to any

    ÀÌ ·êÀÌ º¸´Ù ¾ÈÀüÇÑ ÀÌÀ¯´Â (¿©ÀüÈ÷ À§ÇèÇÒ ¼ö´Â ÀÖÁö¸¸), °ÅÀÇ ³¡¿¡ ÀÖ´Â ·ê·Î½á (65000 ¹øÀ» 500 ¹ø°ú ºñ±³ÇÏÀÚ¸é) ´ÝÈù ¹æÈ­º® Á¤Ã¥ (closed firewall policy) À» ÃëÇÏ´Â ruleset ¿¡ À־ Áß¿äÇÑ Æ®·¡ÇÈÀ» Çã¶ôÇÏ´Â ¸¹Àº ·êµéÀÌ ÀϹÝÀûÀ¸·Î ¸¶Áö¸·ÀÇ °ÅºÎ ·êÀü¿¡ Àֱ⠶§¹®ÀÔ´Ï´Ù. ÀÌ Áß¿äÇÑ Æ®·¡ÇÈÀº Ưº°ÇÑ °æ¿ìÀ» Á¦¿ÜÇÏ°ï, ÃÑ Æ®·¡ÇÈÀÇ »ó´çºÎºÐÀ» Â÷ÁöÇÏ´Â °ÍÀÔ´Ï´Ù. ¾î¶² ·êÀÌ ±â·ÏµÉ °ÍÀÎÁö, ±×·¸Áö ¾Ê¾Æ¾ß ÇÒ °ÍÀÎÁö¿¡ ´ëÇØ ÁÖÀÇÇØ¾ß ÇÕ´Ï´Ù.

    "logamount [number]" - "log" ÀÎÀÚ µÚ¿¡ ¿À´Â ÀÌ ÀÎÀÚ (parameter) ´Â ·Î±ëÀÌ ¸ØÃß±â Àü, ÇÑ °³ÀÇ ·êÀÌ ¾ó¸¶³ª ¸¹Àº ¸ÅÄ¡¸¦ °¡´ÉÇÏ°Ô ÇÏ´Â °¡¿¡ ´ëÇÑ ÃÖ´ë ÇѰ踦 ÁöÁ¤ÇÕ´Ï´Ù. ÀÌ°ÍÀº °ü¸®ÀÚ¿¡°Ô ·Î±ë¿¡ ´ëÇÑ Ãß°¡ÀûÀÎ ÄÁÆ®·ÑÀ» °¡´ÉÇÏ°Ô ÇÕ´Ï´Ù. ¸¸¾à, ¿¹¸¦ µé¾î, ÁÖ¾îÁø ·ê¿¡ ´ëÇØ 10000 ¸ÅÄ¡¸¦
    °¡´ÉÇÏ°Ô ÇÏ°í ÇÏ·ç¿¡ ÇÑ ¹ø¾¿ Ä«¿îÅ͸¦ ¸®¼Â½ÃŲ´Ù¸é, ´©±º°¡°¡ ±× ¼­¹ö¿¡ Ç÷¯µù (try to flood the server) À» ½ÃµµÇÒ ¶§ ·Î±× ÆÄÀÏÀÌ ÀáÀçÀûÀ¸·Î Ä¿Áú °¡´É¼ºÀ» ¿ÏÈ­ÇÏ°í, ÁÖ¾îÁø ·ê¿¡ ÀÇÇØ ºí·ÏÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.
    10000 ¸ÅÄ¡ ÀÌÈÄ¿£, ±× ·ê¿¡ ´ëÇÑ ·Î±ëÀº ¸ØÃß°í, flooder ÀÇ °ø°ÝÀº ·Î±× ÆÄÀÏÀ» Å©°Ô ÇÏÁö ¾ÊÀ» °ÍÀÔ´Ï´Ù. ´ë½Å, ÀÌ ÀÎÀÚ¸¦ »ç¿ëÇÏÁö ¾Ê°í *¸ðµç °Í*À» ·Î±×ÇÏ°íÀÚ ÇÒ ¼öµµ ÀÖ½À´Ï´Ù. FreeBSD 4.x, 3.4+, ±×¸®°í 2.2.x ¿¡¼­´Â ÀÌ°ÍÀÌ Çã¶ôµË´Ï´Ù¸¸, FreeBSD 3.x ÀÇ Ãʱ⠹öÀü¿¡¼­ ÀÌ Å°¿öµå¸¦ »ç¿ëÇÏÁö ¾Ê´Â´Ù¸é, ±âº» "logamount" ´Â 10À¸·Î Á¤ÇØÁý´Ï´Ù.

    ·êÀÌ ±â·ÏµÉ ¶§, ´ÙÀ½ Á¤º¸µéÀÌ ÀúÀåµË´Ï´Ù.

    - ½Ã°£°ú ³¯Â¥ (Date & Time)
    - ·ê ¹øÈ£ (Rule Number)
    - µ¿ÀÛ (Action)
    - Àü¼ÛÁö¿Í ¸ñÀûÁö IP ÁÖ¼Ò (Source & Destination IP addresses)
    - Àü¼ÛÁö¿Í ¸ñÀûÁö Æ÷Æ® ¹øÈ£ (Source & Destination Port numbers)
    - È帧ÀÇ ¹æÇâ (Direction flow)
    - ÀÌ°Í°ú °ü·ÃµÈ ÀåÄ¡ (Device over which this occured)

    ¿¹¸¦ µé¾î, ¹æÈ­º® ·Î±×´Â ´ÙÀ½°ú °°À» °ÍÀÔ´Ï´Ù.

    Jun 12 13:55:59 mybox1 /kernel:  ipfw: 65000 Deny TCP
    172.16.0.1:62307 192.168.0.1:23 in via xl0

    6. Introduction to Stateless and Stateful Filtering (°íÁ¤Àû, °¡º¯Àû ÇÊÅ͸µ¿¡ ´ëÇÑ ¼Ò°³)

    °¡º¯Àû ±×¸®°í °íÁ¤Àû ÇÊÅ͸µ (Stateful and Stateless filtering) Àºipfilter ¿Í ipfirewall(4)
    ÁöÁöÀÚµé »çÀÌ¿¡ ¹ú¾îÁö´Â ³íÀï¿¡¼­ ÈçÈ÷ º¼ ¼ö ÀÖ´Â ¿ë¾îµéÀÔ´Ï´Ù. °íÁ¤ ÇÊÅ͸µ (Stateless filtering) Àº °¢°¢ÀÇ ÆÐŶÀ» ÁÖ¾îÁø ÀåÄ¡¸¦ Åë°úÇÏ´Â ´Ù¸¥ ÆÐŶµé°úÀÇ ¿¬°ü¼ºÀ» °¡ÁöÁö ¾ÊÀº °³º°ÀûÀÎ °ÍÀ¸·Î ´Ù·ì´Ï´Ù. ÀÌ·¯ÇÑ Å¸ÀÔÀÇ ÇÊÅ͸µÀº »ç¿ëÇϱⰡ ½±°í ´ÙÀ½¿¡ È¿°úÀûÀ¸·Î »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.

    - ³ª»Û (Á¶°¢³­) ÆÐŶÀ» ÇÊÅÍÇϱâ (filter corrupt (fragmented) packets)
    - Ưº°ÇÑ ÇÁ·ÎÅäÄÝ ÆÐŶÀ» ÇÊÅÍÇϱâ (filter particular protocol packets (icmp,udp,igmp, etc))
    - È£½ºÆ® ±â¹Ý ÇÊÅ͸µÇϱâ, ÆÐŶÀÌ ¾îµð·Î ÇâÇÏ´ÂÁö ¾îµð¿¡¼­ ¿Ô´ÂÁö¿¡ µû¶ó ÇÊÅ͸µ Çϱâ (filtering according to where a packet is destined, or where it came from)

    °¡º¯ ÇÊÅ͸µ (Stateful filtering) Àº »ç¿ë»ó Á» ´õ º¹ÀâÇÕ´Ï´Ù. ±×°ÍÀº Æ®·¡ÇÈÀ» °³º°ÀûÀÌ°í µ¶¸³ÀûÀÎ ÆÐŶµéÀÇ Á¶ÇÕÀ¸·Î ´Ù·çÁö ¾Ê°í, ¿¬°áµéÀ» ±¸¼ºÇÏ´Â (composed of connexions) °Íµé·Î ´Ù·ì´Ï´Ù. ÀÓÀÇÀÇ ÇÁ·ÎÅäÄÝÀ» ÅëÇÑ ¸ðµç Åë½ÅÀº ¾î¶°ÇÑ ¼ø¼­·Î ÆÐŶÀÌ ¼ÒÄÏ¿¡¼­ ÀÐÇôÁö´Â°¡¸¦ Áö½ÃÇÏ´Â ½ÃÄö½º
    ³Ñ¹ö¸¦ »ç¿ëÇÕ´Ï´Ù. (sequence numbers to indicate in which order packets should be read on a socket(2))

    °¡º¯Àû ¹æÈ­º®Àº (Stateful firewall) ÀÌ·¯ÇÑ ½ÃÄö½º ³Ñ¹ö¸¦ ÀÎÁöÇÕ´Ï´Ù. ¿¬°á ÁöÇâÀûÀÎ TCP °°Àº ÇÁ·ÎÅäÄÝÀº (Connexion oriented protocols such as TCP) ¿¬°á ÃʱâÈ­ (Connexion initiation, SYN)¿Í Á¾·á (termination FIN) ¸¦ °¡¸®Å°´Â Ưº°ÇÑ ÆÐŶÀ» °¡Áö°í Àִµ¥, °¡º¯ ¹æÈ­º®Àº ÀÌ°Íµé ¿ª½Ã ÀÎÁöÇÕ´Ï´Ù. °£´ÜÈ÷ ¸»Çؼ­,

    - ¿¬°áÀÌ ¾î¶°ÇÑ »óÅÂÀÎÁö ¾Ë°í (know what state a connexion is in)
    - ¿¬°áÀÌ ¿Ã¹Ù¸¥ ÀýÂ÷¸¦ °ÅÃÄ ¼º¸³µÇ¾ú´ÂÁö, ȤÀº ±ÔÄ¢À» ±ú°í ÀÖ´ÂÁö (connexion is following valid procedure, or is breaking the rules) ¸¦ ±¸º°Çϱâ

    ¸¦ ¼öÇàÇÏ°í ÀÌ·¯ÇÑ Á¶°Çµé¿¡ µû¶ó ÆÐŶ ÇÊÅ͸¦ ÇÏ´Â °ÍÀÔ´Ï´Ù.

    °¡º¯ ¹æÈ­º®Àº Áö±Ý Á¸ÀçÇÏ´Â ¿¬°á¿¡ ´ëÇØ µ¿ÀûÀÎ ·ê (dynamic rules)À» »ý¼º½ÃÅ°°í, ¿¬°áÀÌ Á¾·áµÇ¾úÀ» °æ¿ì, ÀÌ·¯ÇÑ ±ÔÄ¢À» Á¦°ÅÇÕ´Ï´Ù. ÀÌ°Íµé ¸ðµÎ ¹æÈ­º®¿¡ ÀÇÇÏ¿© ³×Æ®¿÷ Æ®·¡ÇÈÀÇ º¸´Ù °í¼öÁØÀÇ È°µ¿À» Á» ´õ Áö´ÉÀûÀ¸·Î ÀνÄÇÏ´Â °ÍÀ» °¡´ÉÄÉ ÇØÁÝ´Ï´Ù. (allow for a more intelligent
    awarenewss of the higher level activity of network traffic by the firewall)
    ´ÜÁ¡À¸·Î´Â °¡º¯ ¹æÈ­º®Àº °¢°¢ÀÇ ÆÐŶÀ» °³º°ÀûÀ¸·Î ´Ù·ê ¼ö ¾ø½À´Ï´Ù. ¿Ö³ÄÇϸé Ưº°ÇÑ µ¿ÀûÀÎ ·ê (special dynamic rules) Àº ¿¬°áÀÇ ¸ðµç ¹üÀ§¿¡ °ÉÃÄ ÆÐŶµéÀÌ ¿Ã¹Ù·Î µ¿ÀÛÇϴ°¡ ÇÏ´Â ¹®Á¦¸¦ Á¦¿ÜÇÏ°í ±×·¯ÇÑ ·ê¿¡ ÇØ´çÇÏ´Â ÆÐŶµé¿¡ ´ëÇÑ °Ë»ç¸¦ ¹èÁ¦ÇÑ Ã¤ ¸ðµç ¿¬°áÀ» Çã¶ôÇϵµ·Ï ÀÛ¼ºµÇ±â ¶§¹®ÀÔ´Ï´Ù. µû¶ó¼­, ¾çÂÊÀÇ ÀÌÁ¡À» ¸ðµÎ ÃëÇÏ·Á¸é ¹æÈ­º® ¼³Á¤¿¡¼­ °íÁ¤ ·ê°ú °¡º¯ ·êÀ» È¥ÇÕÇÏ´Â °ÍÀÌ Çö¸íÇÑ ¹æ¹ýÀÔ´Ï´Ù.

    Áö±Ý±îÁö º¸¾Æ¿Â °ÅÀÇ ¸ðµç ¿¹½Ã ·êÀº °íÁ¤ ·êÀ̾ú½À´Ï´Ù. (stateless) ¿¹¿Ü¶ó¸é, TCP ¿¬°áÀÇ »óŸ¦ °Ë»çÇÏ°Ô ÇÏ´Â "tcpflags","setup", ±×¸®°í "established" ¿É¼Ç°ú °ü·ÃµÈ ·ê»ÓÀ̾ú½À´Ï´Ù.
    À̰͵éÀÇ Á¶ÇÕÀ¸·Î °£´ÜÈ÷ °¡º¯ ruleset ÀÇ ¿¹¸¦ µé¾îº¸¾Ò´Âµ¥¿ä. ÀÌ·¯ÇÑ ¿É¼Çµé·Î ¿ø½ÃÀûÀÎ °¡º¯ ruleset À» ÀÛ¼ºÇÏ´Â °ÍÀº ipfirewall(4) ¿¡¼­ ¿¹ÀüºÎÅÍ °¡´ÉÇß´ø ±â´ÉÀÔ´Ï´Ù. ÇÏÁö¸¸, ¸Å¿ì Á¦ÇÑÀûÀÎ °¡º¯ ÇÊÅ͸µ ´É·Â(statefule capabilities) ¶§¹®¿¡, ipfirewall(4) Àº ¿À·£±â°£ °íÁ¤ ¹æÈ­º® (stateless firewall) ·Î, IPFilter ´Â ´ë¾ÈÀûÀÎ °¡º¯ ¹æÈ­º®À¸·Î Ãë±Þ¹Þ¾Æ¿Ô½À´Ï´Ù. FreeBSD 4.0 ¿¡ µé¾î¿Í¼­ ipfirewall(4) Àº º¸´Ù ±¤¹üÀ§ÇÑ °¡º¯ ¹æÈ­º® ±â´ÉÀ» °®Ãß°Ô µÇ¾ú°í ´õ¿í´õ ¹ßÀüÇÏ°í ÀÖ½À´Ï´Ù.

    6.1. Basic Stateful Configuration (°¡º¯ ¹æÈ­º®ÀÇ ±âº» ¼³Á¤)

    óÀ½ ¿¹´Â Á» ´õ ¿À·¡µÇ°í, ±âº»ÀûÀÎ ipfirewall(4) ÀÇ °¡º¯ ¹æÈ­º® ¼³Á¤ ±â´ÉÀ» »ç¿ëÇÏ°Ú½À´Ï´Ù. ¸¹Àº ºÐµéÀÌ, °¡º¯ ¹æÈ­º®ÀÇ °¡Àå ±âº»Àû ±â´É (the most basic stateful functionality)À» »ç¿ëÇÏ¿© ¹Ì¸® Á¤ÀǵÈ
    ruleset ÀÌ Á¸ÀçÇÏ´Â ~rc.firewall ÆÄÀÏÀÇ ¿¹¸¦ ¸¹ÀÌ µû¶óÇϸ鼭 TCP ¿¬°áÀ» ÄÁÆ®·ÑÇÏ´Â µ¥ ÀÖ¾î ¡°setup¡± À̳ª ¡°established¡± ¿Í °°Àº Å°¿öµå¸¦ °úµµÇÏ°Ô »ç¿ëÇÕ´Ï´Ù. »ç½Ç °¡º¯ÀûÀÎ ¹æÈ­º® ¼³Á¤¿¡ ÀÖ¾î ÀÌ·¸°Ô ÇÒ ¼öµµ ÀÖ°ÚÁö¸¸, Àû¾îµµ Áß¿äÇÏ°Ô »ý°¢µÇ´Â Ư¼º¿¡ ´ëÇØ ÇѰ踦 º¸ÀÌ°Ô µË´Ï´Ù.
    ¿ì¸® ¿¹¿¡¼­´Â, ssh ¿¬°á¸¸À» Çã¿ëÇÏ´Â ´Ü¼øÇÑ °¡º¯ ¹æÈ­º® ruleset (stateful firewall ruleset) À» ¸¸µé¾î º¼ °ÍÀÔ´Ï´Ù.

    add 1000 allow tcp from any to any established
    add 2000 allow tcp from any to any 22 in setup

    ´ÝÈù ¹æÈ­º® Á¤Ã¥À¸·Î °¡Á¤ÇÏ°í (Presuming a closed filrewall policy) (Áï firewall_type ÀÌ ¡°OPEN¡±À¸·Î Á¤ÇØÁöÁö ¾Ê°í Ä¿³ÎÀÌIPFIREWALL_DEFAULT_TO_ACCEPT ¼³Á¤À» °¡ÁöÁö ¾ÊÀ» ¶§) À§ µÎ¶óÀÎÀº ¿ì¼± ¸ðµç È®¸³µÈ TCP ¿¬°á (established TCP connexion) À» Çã¿ëÇÕ´Ï´Ù. Ưº°È÷ È®¸³µÈ TCP ¿¬°áÀ» ±¸¼ºÇÏ´Â ¸ðµç ÆÐŶÀº 1000¹ø ·ê°ú ¸ÅÄ¡µÇ°í ruleset Ž»öÀº ¸ØÃß°Ô µË´Ï´Ù. ¹Ý¸é¿¡ ÀÓÀÇÀÇ ÆÐŶÀÌ È®¸³µÈ TCP ¿¬°áÀÇ ºÎºÐÀÌ ¾Æ´Ò ¶§´Â 1000¹ø ·ê°ú´Â ÀÏÄ¡ÇÏÁö ¾Ê°Ô µÇ°í, ruleset Ž»öÀº 2000¹øÀ¸·Î °è¼Ó µÉ °ÍÀÔ´Ï´Ù. °Å±â¿¡¼­ ¸¸¾à ÆÐŶÀÌ 22 ¹ø Æ÷Æ® (ssh Æ÷Æ®)·Î ÇâÇÏ´Â SYN TCP ÆÐŶÀ̶ó¸é, ·ê°ú ÆÐŶÀº ÀÏÄ¡µÇ¾î Åë°ú¸¦ Çã¿ëÇÕ´Ï´Ù. ÀÌ·± ¹æ¹ýÀ¸·Î, À§ ·êµéÀº ÀüüÀûÀ¸·Î TCP ¿¬°áÀ» ÀÎÁöÇ쵂 °¢°¢ÀÇ °³º°Àû ÆÐŶÀ» ÀνÄÇÏÁö´Â ¾ÊÀ½À¸·Î½á °¡º¯ÀûÀ¸·Î µË´Ï´Ù. (stateful) ¿¹¸¦ µé¾î ´ÙÀ½°ú °°ÀÌ °íÁ¤ ·ê (stateless rules) À» »ç¿ëÇÏ¿© °°Àº È¿°ú¸¦ ³¾ ¼öµµ ÀÖ°ÚÁÒ.

    Add 1000 allow tcp from any to any out
    Add 2000 allow tcp from any to any 22 in

    À§ ¿¹¿¡¼­´Â, ÀÓÀÇÀÇ Àå¼Ò¿¡¼­ ÀÓÀÇ·Î ³ª°¡´Â (out from any to anywhere) ¸ðµç ÆÐŶÀº ¹æÈ­º®À» Åë°úÇϵµ·Ï Çã¿ëµÇ¸ç, Àü¼ÛÁö¿Í ¸ñÀûÁö¿¡ »ó°ü¾øÀÌ 22¹ø Æ÷Æ®¸¦ ÇâÇØ À¯ÀԵǴ ¸ðµç ÆÐŶµµ Åë°úµË´Ï´Ù. ÀÌ °æ¿ì¿¡ ÀÖ¾î, ·êµéÀº TCP ¿¬°áÀ» ÀνÄÇÏÁö ¾Ê½À´Ï´Ù. ´ë½Å¿¡ ±×°ÍÀÌ ¹«¾ùÀÌµç °£¿¡ ¸ðµç TCP ÆÐŶÀÇ ¿ÜºÎ Àü¼ÛÀ» Çã¶ôÇÏ°í, 22 ¹ø Æ÷Æ®·Î ÇâÇØ µé¾î¿À´Â ¸ðµç ÆÐŶÀ» ¿ª½Ã ±×°ÍÀÌ ¹«¾ùÀ̵簣¿¡ Åë°ú½Ãŵ´Ï´Ù.

    ÀÌ°ÍÀÌ ¡°setup¡± °ú ¡°established¡± Ç÷¡±×¸¦ »ç¿ëÇÏ´Â ipfirewall(4) ¿¡ ÀÖ¾î °¡º¯ ÇÊÅ͸µ (stateful behaviour) ÀÇ ÇÙ½ÉÀû ¿ä¼ÒÀÔ´Ï´Ù : ƯÁ¤ÇÑ ÁÖ¼Ò:Æ÷Æ®¸¦ ÇâÇÏ´Â TCP ¿¬°á ¿ä±¸ (TCP setup request)¸¦ Çã¿ëÇÏ°í ÀÌ·¸°Ô È®¸³µÈ ¿¬°áÀ» Çã¿ëÇÏ´Â °ÍÀÔ´Ï´Ù.

    ³×Æ®¿÷ 172.16.0.0/27 ¿¡ ssh, email, FTP, ±×¸®°í DNS Äõ¸® (query) °¡ ÀÖÀ» ¶§ À̸¦ ´Ù·ç´Â ´õ¿í È­µÈ ¿¹¸¦ »ìÆ캾½Ã´Ù.

    add 1000 allow tcp from any to any established
    add 2000 allow tcp from any to 172.16.0.0/27 21,22,25 setup
    add 3000 allow udp from  172.16.0.0/27 to any 53
    add 3100 allow udp from any 53 to  172.16.0.0/27

    ÀÌ ¿¹¿¡¼­, 172.16.0.0 ³×Æ®¿÷À» ÇâÇÏ´Â 21, 22, 25 – (°¢°¢ FTP, ssh, email ¿¡ ÇØ´çÇÕ´Ï´Ù.) ¹ø Æ÷Æ®¿¡ ÇØ´çÇÏ´Â TCP ¿¬°á ÃʱâÈ­ (setup of TCP connexions)´Â Çã¿ëµË´Ï´Ù. ±× ÈÄ ¸ðµç È®¸³µÈ TCP ¿¬°áÀÇ ÆÐŶ Åë°ú°¡ Çã¿ëµË´Ï´Ù. 3000, 3100¹ø ·êÀº ´Ù¸¥ È£½ºÆ®ÀÇ 53 ¹ø Æ÷Æ®¸¦ ÇâÇÑ UDP ÆÐŶÀÇ Åë°ú¸¦ Çã¿ëÇÏ°í ´Ù¸¥ È£½ºÆ®ÀÇ 53 ¹ø Æ÷Æ®¿¡¼­ Àü¼ÛµÈ UDP ÆÐŶÀÇ ¹æÈ­º® Åë°ú¸¦ Çã¿ëÇÏ°Ô µË´Ï´Ù. 53¹ø Æ÷Æ®´Â DNS ¼­¹ö°¡ »ç¿ëÇÏ´Â Æ÷Æ®ÀÔ´Ï´Ù. 1000¹ø ·êÀº ¡°from any to any¡± ¸¦ Æ÷ÇÔÇØ¾ß Çϴµ¥ ¿Ö³ÄÇϸé È®¸³µÈ TCP ¿¬°áÀÇ ÆÐŶµéÀº ¾ç¹æÇâ ¸ðµÎ¿¡ °ÉÃÄ ¼­·Î ¹ß»ýµÇ°í µµ´ÞÇØ¾ß Çϱ⠶§¹®ÀÔ´Ï´Ù.

    ¸¸¾à ¿ÏÀüÈ÷ °íÁ¤ÀûÀÎ ¹æÈ­º® ¼³Á¤ (completely stateless)À¸·Î ºñ½ÁÇÑ ruleset À» ÀÛ¼ºÇÏ°íÀÚ ÇÑ´Ù¸é 1024¿¡¼­ 65000 ¿¡ ÇØ´çÇÏ´Â Æ÷Æ®µéÀ» FTP ¿¬°áÀ» À§ÇØ ¿­¾îµÎ¾î¾ß ÇÕ´Ï´Ù. FTP ´Â ¹«ÀÛÀ§·Î ³ÐÀº ¹üÀ§¿¡ °ÉÃÄ ¹Ì¸® ¾à¼ÓµÇÁö ¾ÊÀº Æ÷Æ®µéÀ» »ç¿ëÇϱ⠶§¹®¿¡ »ó´çÈ÷ Á¤µ·µÇÁö ¾ÊÀº Æ÷·ÎÅäÄÝ ÀÔ´Ï´Ù. (wild protocol as it randomly binds to non-reserved ports across a wide range) FTP ¸¦ »ç¿ë°¡´É Çϵµ·Ï ¹æÈ­º®¿¡ Çã¿ëÇÏ´Â °ÍÀº Ç×»ó ¾î·Æ½À´Ï´Ù : ´ÜÁö °¡º¯ ¹æÈ­º®¸¸ÀÌ ³ÐÀº ¹üÀ§ÀÇ Æ÷Æ®¸¦ ¿­¾îÁÖÁö ¾Ê°íµµ ±×°Í¿¡ ´ëÇØ ¿Ïº®ÇÑ Áö¿øÀ» ÇÕ´Ï´Ù. °íÁ¤ ¹æÈ­º®¿¡¼­ Æ÷Æ®¸¦ ¿­¾î³õ°Ô µÇ¾úÀ» ¶§ÀÇ È®½ÇÇÑ ´ÜÁ¡Àº ´©±¸¶óµµ ±× ¹üÀ§¾ÈÀÇ Æ÷Æ®·Î Á¢¼ÓÀ» ½ÃµµÇÒ ¼ö ÀÖ´Ù´Â Á¡ÀÔ´Ï´Ù. ¿ì¸®ÀÇ ·ê¿¡¼­´Â ´ÜÁö 2000¹ø ·êÀ» ÅëÇØ ÃʱâÈ­µÈ TCP ¿¬°á¸¸ÀÌ 1000¹øÀÇ È®¸³µÈ ¿¬°á Åë°ú·êÀ» ÅëÇؼ­ Çã¿ëµË´Ï´Ù. ÀÌ ¶§ FTP ¸¦ À§ÇØ ÇÊ¿äÇÑ ³ÐÀº ¹üÀ§ÀÇ Æ÷Æ®¸¦ ÇâÇÏ¿© Àü¼ÛµÇ´Â ¹«ÀÛÀ§ÀÌ°í ÄÁÆ®·ÑµÇÁö ¾ÊÀº ¿¬°á (random and uncontrolled connexion) À» Á¦ÇÑÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.

    6.2 Advanced Statefuel Configuration (½ÉÈ­µÈ °¡º¯ ¹æÈ­º® ¼³Á¤)

    Àü¿¡ ¾ð±ÞµÈ ¹Ù¿Í °°ÀÌ, ¡°setup¡± °ú ¡°established¡± ·Î ÀÌ·ç¾îÁø °¡º¯ ¹æÈ­º® ¼³Á¤Àº ¸Å¿ì Á¦ÇÑÀûÀÔ´Ï´Ù. ¿À·ÎÁö TCP ¿¬°á¿¡ ´ëÇؼ­¸¸ °¡º¯Àû ÄÁÆ®·Ñ (stateful control) À» Á¦°øÇÑ´Ù´Â ÀåÁ¡ ÀÌ¿Ü¿¡ ÀÌ·¯ÇÑ °¡º¯Àû ÄÁÆ®·ÑÀº ±â²¯ÇغÁ¾ß ´Ü¼øÇÏ´Ù´Â Á¡À» µé ¼ö ÀÖ½À´Ï´Ù. FreeBSD 4.0 ¿¡¼­ºÎÅÍ ½ÃÀÛµÈ ipfirewall(4) ÀÇ °¡º¯ ¹æÈ­º® ±â´É (stateful firewall capabilities) Àº ´ë´ÜÈ÷ Çâ»óµÇ¾ú½À´Ï´Ù. Áö±ÝÀº ipfirewall(4)ÀÌ µ¿Àû ·êÀ» ÅëÇÏ¿© (with dynamic rules) TCP, UDP, ICMP ±×¸®°í ¿©·¯ ŸÀÔÀÇ ÆÐŶµéÀ» °¡º¯ÀûÀ¸·Î ´Ù·ç°Ô (statefule handling) ¼³Á¤µÉ ¼ö ÀÖ½À´Ï´Ù.

    µ¿Àû ·ê (Dynamic rules)Àº FreeBSD 4.0 ÀÇ ipfirewall(4)¿¡ »õ·ÎÀÌ Ãß°¡µÈ ¶Ç ´Ù¸¥ ±â´ÉÀÔ´Ï´Ù. µ¿Àû ·êÀº À̸§ÀÌ ¾Ï½ÃÇÏµí °³º°Àû ¿¬°á¿¡ ´ëÇÏ¿© µ¿ÀûÀ¸·Î ¹ß»ýµË´Ï´Ù. °¢ÀÚÀÇ µ¿Àû ·êÀº ÀÏÁ¤ÇÑ ½Ã°£ÀÌ °æ°ú ÇÒ ¶§ ±îÁö »ç¿ëµÇÁö ¾Ê´Â´Ù¸é »ç¶óÁý´Ï´Ù. TCP ¿¬°á¿¡ ´ëÇÑ ½Ã°£ Á¦ÇÑÀº ¿©·¯ sysctl(8) º¯¼ö¿¡ ÀÇÇØ ÄÁÆ®·ÑµË´Ï´Ù. ÀÌ°ÍÀº ¿¬°á ÃʱâÈ­»Ó ¾Æ´Ï¶ó, ¿¬°á Á¾·á±îÁöµµ Á¦¾îÇÒ ¼ö ÀÖ°Ô ÇØÁִµ¥ Áï, ´Ù¸¥ ¹æ½ÄÀ¸·Î À̾߱âÇÏÀÚ¸é, ƯÁ¤ÇÑ ¿¬°áÀÇ ½ÃÀÛ°ú ³¡À» ÀνÄÇÏ´Â ruleset ÀÌ ÀÛ¼ºµÉ ¼ö ÀÖÀ» »Ó¾Æ´Ï¶ó ±×°Í¿¡ µû¶ó¼­ ÀÚ½ÅÀ» Àû¿ë½Ãų ¼ö ÀÖÀ½À» ÀǹÌÇÕ´Ï´Ù.

    ÀÌ·¯ÇÑ ½ÉÈ­µÈ °¡º¯ ¹æÈ­º® ÀÛ¿ë (advanced stateful behaviour)À» ÄÁÆ®·ÑÇϴµ¥¿¡´Â ÇϳªÀÇ ¿É¼Ç°ú ÇϳªÀÇ ¸í·ÉÀÌ ¾²ÀÔ´Ï´Ù.

    ¡°set-state¡± – ÀÌ ¿É¼ÇÀ» °¡Áø ¸ðµç ·êÀº ¾î¶² ÆÐŶ¿¡ ÀÇÇØ ÀڽŰú ÀÏÄ¡µÉ ¶§ ¸¶´Ù µ¿ÀûÀÎ ·êÀ» ¹ß»ý½Ãŵ´Ï´Ù.

    ¡°check-state¡± – ÀÌ ¸í·ÉÀº ¹æÈ­º®ÀÌ ¿ì¼± µ¿Àû ·êÀ» °Ë»öÇϵµ·Ï Çã¿ëÇÕ´Ï´Ù. ¸¸¾à ÀÌ ¸í·ÉÀ» °¡Áø ·êÀÌ ruleset ÀÇ ¸ðµç ·ê¿¡¼­ »ý·«µÈ´Ù¸é, ±× ¶§´Â µ¿Àû ·êÀÌ ¡°set-state¡± ¿É¼ÇÀÌ Ã³À½ ³ªÅ¸³µÀ» ¶§ üũµË´Ï´Ù. ÀÌ ¸í·ÉÀ» °¡Áø ·ê°ú ÀÏÄ¡Çϸé Ž»öÀº ¸ØÃß°í, ±×·¸Áö ¾Ê´Ù¸é °è¼Ó µÉ °ÍÀÔ´Ï´Ù.

    ¿ì¸®°¡ ¾Õ¼­ ssh ¿¬°á¸¸À» Çã¿ëÇϵµ·Ï µðÀÚÀÎµÈ ¿¹¸¦, ½ÉÈ­µÈ °¡º¯ipfirewall(4) ±â´É¸¸À» »ç¿ëÇØ ±¸ÇöÇØ º¾½Ã´Ù.

    Add 1000 check-state
    Add 2000 allow tcp from any to any 22 in setup keep-state

    ÀÌ ·êµéÀº ´ç½ÅÀÇ ¹æÈ­º® Á¤Ã¥ÀÌ ´ÝÈù °Í (Áï ±âº»¼³Á¤À¸·Î ¸ðµç °ÍÀ» ¸·µµ·Ï µÈ °Í) ÀÓÀ» °¡Á¤ÇÏ°í ÀÖÀ½À» ¸í½ÉÇϽʽÿÀ. À§ ·ê¿¡¼­, óÀ½ ·êÀº ipfirewall(4) ¿¡°Ô µ¿Àû ·êÀ» üũÇϵµ·Ï ¿ä±¸ÇÕ´Ï´Ù. ¹æÈ­º®À» Åë°úÇÏ´Â ¹Ù·Î ±× ¶§ÀÇ ÆÐŶÀº ¾î¶°ÇÑ ÀÌ¹Ì È®¸³µÈ ¿¬°á¿¡ ¼ÓÇÏÁö ¾ÊÀ¸¹Ç·Î, Áï ¸»ÇÏÀÚ¸é, ±×µéÀÌ ¾î¶°ÇÑ µ¿Àû ·ê¿¡µµ ¸ÅÄ¡µÇÁö ¾ÊÀ¸¹Ç·Î, 2000¹ø ·ê¿¡ ´ëÇÑ Å½»öÀ¸·Î ³Ñ¾î°©´Ï´Ù. °Å±â¿¡¼­´Â ¸¸¾à ÆÐŶÀÌ TCP SYN ÆÐŶÀ̶ó¸é ¡°keep-state¡± °¡ µ¿Àû ·êÀ» ¸¸µéµµ·Ï µÇ¾îÀÖ½À´Ï´Ù. ±× ¿¬°á°ú °ü·ÃµÈ µÚµû¸£´Â ¿¬¼ÓÀûÀÎ ÆÐŶµéÀº µ¿Àû ·êÀ» ¸¸³¯ °ÍÀε¥, ±×°ÍÀº 1000¹ø ·ê¿¡ ÀÇÇØ ¸¸µé¾îÁø °ÍÀÔ´Ï´Ù. ¸ðµç ´Ù¸¥ ÆÐŶµéÀº ±âº» °ÅºÎ ·ê¿¡ ÀÇÇØ °ÅºÎµÉ °ÍÀÔ´Ï´Ù.

    ¿ì¸®°¡ ÀÌ¹Ì ÀÌ·¯ÇÑ È¿°ú¸¦ °ÅµÎ±â À§ÇØ ¿À·¡µÈ °¡º¯ ȤÀº °íÁ¤ ¹æÈ­º® ¹æ¹ýÀ» ÅëÇØ ±¸ÇöÇØ º¸¾ÒÁö¸¸, ÀÌ ¡°set-state¡± ¿É¼Ç°ú ¡°check-state¡± ¸í·ÉÀ» ÅëÇÑ »õ·Î¿î Á¢±Ù¹ýÀº ´Ù¸¥ Á¢±Ù¹ýº¸´Ù ¸íÈ®ÇÑ ÀåÁ¡ÀÌ ÀÖ½À´Ï´Ù. ¿À·¡µÈ °¡º¯ ¹æÈ­º® ±â¹ý¿¡¼­ ¡°established¡± ¿É¼ÇÀº È®¸³µÈ ¿¬°á·ÎºÎÅÍ ºñ·ÔµÇ´Â ¸ðµç TCP ÆÐŶ°ú, ±×°ÍÀÌ spoofing µÇ¾úµç, Áö±Ý Á¸ÀçÇÏ´Â Àû¹ýÇÑ TCP ¿¬°á¿¡¼­ ¹ß»ýµÇÁö ¾ÊÀº °ÍÀÏÁö¶ó ÇÏ´õ¶óµµ, ¸ÅÄ¡µË´Ï´Ù. »õ·Î¿î Á¢±Ù¹ýÀº ±×·¯ÇÑ °æ¿ì°¡ ¹ß»ýÇÏ´Â °ÍÀ» ¹èÁ¦ÇÕ´Ï´Ù. °³°³ÀÇ µ¿ÀûÀÎ ·êÀº µÎ È£½ºÆ®¿Í ±×µé °¢°¢ Æ÷Æ®µé »çÀÌÀÇ Æ¯Á¤ÇÑ ¿¬°á¿¡¸¸ °ü¿©ÇÕ´Ï´Ù.
    Spoofing µÈ TCP ÆÐŶÀº Àü¼ÛÁö¿Í ¸ñÀûÁö IP ÁÖ¼Ò¸¦ ¼ÓÀÏ ¼ö ÀÖÁö¸¸, Á¤¸» ¿îÀÌ ÁÁÁö ¾Ê´Ù¸é ÇöÀçÀÇ ÀûÀýÇÑ TCP ¿¬°áÀÌ À¯ÁöµÇ°í ÀÖ´Â Á¤È®ÇÑ Æ÷Æ®±îÁö ¼ÓÀÏ ¼ö´Â ¾ø±â ¶§¹®¿¡, µû¶ó¼­ ¡°check-state¡± ¸í·ÉÀ» °¡Áø 1000¹ø ·ê¿¡¼­ ¸ÅÄ¡¿¡ ½ÇÆÐÇÒ °ÍÀÌ°í, ±× µÚ 2000¹ø ·ê¿¡¼­ ±× spoofing µÈ ÆÐŶÀÌ TCP SYN ÆÐŶÀÌ ¾Æ´Ï¶ó¸é ¿ª½Ã ¸ÅÄ¡¿¡ ½ÇÆÐÇÕ´Ï´Ù. °á±¹ ¸¶Áö¸·ÀÇ °ÅºÎ ·ê¿¡ ÀÇÇØ ÆÐŶÀº ¹ö·ÁÁö°Ô µË´Ï´Ù.

    ¿ä¾àÇÏÀÚ¸é, ÆÐŶÀÌ µ¿ÀûÀÎ ·ê°ú ¸ÅÄ¡µÇ±â À§ÇØ °Ë»ç¹Þ´Â Ç׸ñÀº ´ÙÀ½°ú °°½À´Ï´Ù.

    - ÇÁ·ÎÅäÄÝ
    - Àü¼ÛÁö IP ¿Í Æ÷Æ®
    - ¸ñÀûÁö IP ¿Í Æ÷Æ®
    - ·êÀÇ Áö¼Ó ½Ã°£ÀÌ ´Ù µÅ¾ú´Â°¡

    Àü¿¡ ¸»Çß´ø ¹Ù¿Í °°ÀÌ µ¿ÀûÀÎ ·êÀº ÀÏÁ¤ ½Ã°£ÀÌ °æ°úÇÒ µ¿¾È Ưº°È÷ »ç¿ëµÇÁö ¾ÊÀ¸¸é ¹ö·ÁÁý´Ï´Ù. µ¿Àû ·êÀÌ ¾î¶»°Ô ¾²¿©Áö´Â°¡¿¡ µû¶ó, ·êÀÇ ¼ö¸í (time out) ¿¡ Ưº°ÇÑ ±â°£ÀÌ Á¤ÇØÁý´Ï´Ù. ¿©·¯°¡Áö ŸÀÔÀÇ ·ê¿¡ ´ëÇÑ ¸¸±â (time out) ½ÃÁ¡Àº sysctl º¯¼ö¸¦ Ãâ·ÂÇØ º½À¸·Î½á ¾Ë ¼ö ÀÖ½À´Ï´Ù; ´õ¿íÀÌ »ç¿ëÀÚ´Â ÀÌ °ªÀ» ¹Ù²Ü ¼ö ÀÖ½À´Ï´Ù. ¿©±â sysctl º¯¼öµé°ú ±×µéÀÇ ±âº» ¼³Á¤°ªÀ» ³ª¿­ÇØ º¸°Ú½À´Ï´Ù.

    (root@nu)~># sysctl -a | grep  'dyn.*lifetime'
    net.inet.ip.fw.dyn_ack_lifetime:  300
    net.inet.ip.fw.dyn_syn_lifetime: 20
    net.inet.ip.fw.dyn_fin_lifetime:  20
    net.inet.ip.fw.dyn_rst_lifetime: 5
    net.inet.ip.fw.dyn_short_lifetime:  5
    (root@nu)~>#

    óÀ½ sysctl º¯¼ö´Â TCP ACK ÆÐŶ¿¡ ÀÇÇØ »ç¿ëµÈ µ¿Àû ·êÀÌ Áï°¢ »ç¿ëµÉ ¼ö ÀÖ´Â ½Ã°£ÀÌ 300 ÃÊÀÓÀ» ³ªÅ¸³À´Ï´Ù. µÎ¹ø° º¯¼ö´Â TCP SYN ÆÐŶ¿¡ ÀÇÇØ »ç¿ëµÈ µ¿Àû ·êÀÌ 20 ÃÊ À̳»¿¡ »ç¿ëµÇ¾î¾ß ÇÔÀ» ³ªÅ¸³À´Ï´Ù. ¼¼¹ø° º¯¼ö´Â TCP FIN ÆÐŶ¿¡ ÀÇÇØ »ç¿ëµÈ µ¿Àû ·êÀÌ ¿ª½Ã 20 ÃÊ µ¿¾È »ç¿ëµÉ ¼ö ÀÖÀ½À» ³ªÅ¸³À´Ï´Ù. ¸¶Áö¸· µÎ °¡ÁöÀÇ º¯¼ö´Â TCP RST ÆÐŶ°ú ÀÓÀÇÀÇ ´Ù¸¥ ÆÐŶµé (UDP, ICMP, ±âŸ µîµî)¿¡ ÀÇÇØ »ç¿ëµÈ µ¿Àû ·êÀÌ 5ÃÊÀÇ ½Ã°£ ¿©À¯¸¦ °¡Áö°í ÀÖÀ½À» ³ªÅ¸³À´Ï´Ù.
      Ä¿ÇǴнº Ä«Æä ÃÖ±Ù ±Û
    [03/24] Youtube òÁ&#2
    [03/20] Re: ¿Â¶óÀΰÔÀÓÀÇ Á¾ÁÖ±¹ ´ëÇѹα¹
    [03/20] ½ÇÁ¦&#4
    [03/18] ±¹°¡&#5
    [10/20] Cross Compiler ±ò
    [07/14] SSL ¬¡¬°
    [04/26] Re: µµ½ºÈ­¸é ¿ø°ÝÁ¶Á¾ ¿©ºÎ
    [04/25] µµ½ºÈ­¸é ¿ø°ÝÁ¶Á¾ ¿©ºÎ
    [10/30] Cshell¿¡¼­ ³­¼ö ¼³Á¤
    [10/23] °øÇ×öµµÁÖ½Äȸ»ç SE ±¸ÀÎ Ëì
    [01/26] Re: wgetÀ¸·Î ´Ù¸¥¼­¹ö¿¡ÀÖ´Â µð·ºÅ丮¸¦ °¡Á®¿À·Á°íÇÕ´Ï´Ù.
    [01/25] wgetÀ¸·Î ´Ù¸¥¼­¹ö¿¡ÀÖ´Â µð·ºÅ丮¸¦ °¡Á®¿À·Á°íÇÕ´Ï´Ù.
    [01/11] ƯÁ¤ ¾Èµå·ÎÀ̵å WebView ¹öÀü¿¡¼­ SSL ¹®Á¦ (WebView ¹ö±×)
    [08/01] DNS forwarder (Àü´ÞÀÚ) ¼­¹ö¸¦ ÅëÇؼ­ Äõ¸®ÇÏ¸é ¿ª¹æÇâÀ» ¹Þ¾Æ¿ÀÁú ¸øÇÕ´Ï´Ù.
    [05/16] (ÁÖ)ÈÄÀÌÁî ½Ã½ºÅÛ¿£Áö´Ï¾î (°æ·ÂÀÚ) ¸ðÁý
      New!   ÃÖ±Ù¿¡ µî·ÏÇÑ ÆäÀÌÁö
      KiCad EDA Suite project (Free/Libre/Open-Source EDA Suite) (CAD)
      ¿ÀÇÂij½ºÄÉÀ̵å ijµå (OpenCASCADE CAD)
      QCad for Windows --- GNU GPL (Free Software)
      The Hello World Collection
      IPMI¸¦ È°¿ëÇÑ ¸®´ª½º ¼­¹ö°ü¸®
      DNS ¼³Á¤ °Ë»ç
      nagiosgraph ¼³Ä¡ ¹æ¹ý
      Slony-I ¼³Ä¡ ¹æ¹ý (postgresql replication tool)
      Qmail±â¹ÝÀÇ Anti spam ½Ã½ºÅÛ ±¸ÃàÇϱâ
      clusterssh

    [ ÇÔ²²ÇÏ´Â »çÀÌÆ® ]




    ¿î¿µÁø : ÁÁÀºÁøÈ£(truefeel), ¾ß¼ö(yasu), ¹ü³ÃÀÌ, sCag
    2003³â 8¿ù 4ÀÏ~