서버는 서비스 되고 있다는 가정하에 

mount -t nfs 서버ip:/서버에서 마운트되어 사용되어질 디렉토리 /마운트시킬 디렉토리(마운트포인터)

잘정리된 iptables 사용법

[출처 : http://seeaster.tistory.com/18 ]

오늘은 Iptables 에 대해 간단히 포스팅 하겠습니다. 그전에 몇가지 팁을 적어볼게요 ^^

옵션 보고 익히는 것보다 아래에 적은 팁이 실무에선 더 중요할 것 같네요.!!

Tip 7가지

1.     Iptables 하면서 팁은 위에서부터 아래로 적용 됨

2.     명렁어 치기전엔 3번 생각하자

-쳐놓고 서비스 장애 등 가용성에 문제가 온다면 GG입니다

3.     신뢰 IP Any Any open 해놓고 작업하기

-ssh 등 원격 접속 해 있을 때 실수로 차단되면 콘솔로 붙어서 작업해야함.

-inbound 와 outbound 해야함(ssh 같은경우 inbound open만 해놓을경우 통신 불가)

4.     생각나는데로 룰 만드는 것이 아닌 먼저 정책 분석, 트래픽 분석하고 다 정리한다음 테스트 장비에 테스트 후 적용할 것.

-초기 셋팅이 아닌 서비스 중에 변경할 땐 더욱 신중해야함.

5.     #]man iptables 를 이용할 것

-man 명령어로 명령어 옵션 보는 습관을 들이는 것이 좋습니다. 모든 명령어들어 옵션을 외울 수는 없지요. 물론 자주 쓰는 것은 외워두는 것이 좋습니다.

6.     일괄 적업하지 말 것.

-일괄작업 하면 빠르지만 하나하나씩 넣으면서 확인하는 습관을 길러야 합니다. 모든 보안 시스템은 일괄처리 기능이 제거되어있는데요 기계는 실수를 안하지만 사람은 항상 실수 하기 때문 입니다.

7.     Vi 편집기로 /etc/sysconfig/iptables 편집하는 것이 더 편하다.

-저장하기전에 확인하고 확인할것!!또한 vi 편집기로 작업후 서비스 재시작 해줄 것!(service iptables restart)

*처음 룰 생성해서 저장 하기 전까지는 /etc/sysconfig/iptables 파일이 없습니다.

# iptables 명령어(옵션) 간단한 설명

~]#vi /etc/sysconfig/iptables

~]#iptables -L :리스트보기

~]#iptables -P INPUT DROP : -P 기본정책, INPUT의 기본정책을 DROP으로 하겠다.

현재 FORWARD 기본정책은 ACCEPT

~]#iptables -A : -A 는 추가할떄

~]#iptables -I INPUT 3 : -I 는 원하는 라인에 추가, 3번쨰 라인에 추가한다는말임.

~]#iptables -A INPUT -p tcp : -p 는 프로토콜 정하기

~]#iptables -A INPUT -p tcp -s : -s 는 src ip

~]#iptables -A INPUT -p tcp -s 192.168.81.63 --dport 80: --dport 는 dst port

~]#iptables -A INPUT -p tcp -d 192.168.81.62: -d 는 dst ip

~]#iptabels -A INPUT -p tcp --sport 80: --sport 는 src port

~]#iptables -A INPUT -p tcp -dport 80 -j ACCEPT : -j 는 대응 방법(ACCEPT, DROP, REJECT 등),

*REJECT는 DOS 공격시 부하가 걸리므로 권장하지 않음

~]#iptables -A INPUT –m : -m은 man 페이지를 참조 하길..옵션이 너무 많아요..

#서비스 시작/정지/재시작/저장

*iptables 는 save 명령어를 쳐주지 않으면 시스템 재부팅 후 정책이 초기화 됩니다.

~]#service iptables start

~]#service iptables stop

~]#service iptables restart

~]#service iptables save

예제 참조는

http://team.boanin.com/

0. 기본정책을 ACCEPT로 설정

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

1. 현재 자신의 방화벽 규칙을 볼 수 있는 명령

iptables -L

iptables --list

2. 21.23.25.80 포트를 차단하는 정책(각각 하나씩 규칙을 만들것)

iptables -A INPUT -p tcp --dport 21 -j DROP

iptables -A INPUT -p tcp --dport 23 -j DROP

iptables -A INPUT -p tcp --dport 25 -j DROP

iptables -A INPUT -p tcp --dport 80 -j DROP

iptables -A INPUT -p tcp -m multiport --destination-port 21,23,25,80 -j DROP

3.첫번쨰 정책을 삭제

iptabels -D INPUT 1

4. 세번째 정책의 출발지 IP를 192.168.1.0/24로 수정

iptables -R INPUT 3 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

5. 출발지 IP가 A클래스 사설 IP 일 경우 차단하는 정책

iptables -A INPUT -s 10.0.0.0./8 -j DROP

6. 출발지 IP 192.168.10.1 부터 192.168.10.100, 그리고 192.168.150.0/24이고 목적지IP 는 192.168.10.170이고 목적지 포트는 3306일 경우 차단하는 정책

iptables -A INPUT -p tcp -s 192.168.150.0/24 -d 192.168.10.170 --dport 3306 -j DROP

iptables -A INPUT -p tcp -m iprange --src-range 192.168.10.1-192.168.10.100 -d 192.168.10.170 --dport 3306 -j DROP

7. tcp 패킷이 초당 10개가 올경우 차단하는 정책(limit match 이용)

iptables -A INPUT -p tcp -m limit --limit 10/s -j DROP

8. 하나의 세션에서 10개의 패킷이 매치된 후 tcp 패킷이 분당 100개가 올 경우 차단하는 정책

iptables -A INPUT -p tcp -m limit --limit 100/m --limit-burst 10 -j DROP

9. 옆사람의 윈도우와 리눅스에서 SSH 접속을 차단하도록 설정, 윈도우에서 연결은DROP, 리눅스는 REJECT

iptables -A INPUT -p tcp -s 172.17.24.140 --dport 22 -j DROP

iptables -A INPUT -p tcp -s 172.17.24.170 --dport 22 -j REJECT --reject-with tcp-reset

10. ICMP 라는 체인을 생성

 -icmp 패킷이 들어올 경우 ICM 체인으로 전달

 -icmp 체인에 ping에 대한 응답하지 않는 정책 추가

iptables -N ICMP

iptables -A INPUT -p icmp -j ICMP

iptables -A ICMP -p icmp --icmp-type 8 -j DROP

11. 기본정책을 DROP으로 설정

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

 본인의 윈도우에서 ssh연결이 되도록 설정하고 이미 연결된 상태나 연광성이 있는 연결은 별도의 정책 대신 state 매치를 이용하여 계쏙 사용할수 있도록 설정

iptables -I INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT

iptables -A INPUT -p tcp -s 172.17.24.130 --dport 22 -j ACCEPT

12. TCP FLAG 중 전체를 보고 그 중 SYN 과 FIN이 있을 경우 차단하는 정책

iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -j DROP

13. TCP FLAG 중 전체를 보고 그 중 PSH 과 FIN이 있을 경우 차단하는 정책

iptables -A INPUT -p tcp --tcp-flags ALL FIN,FIN -j DROP

< ps [옵션] -현재 실행되고 있는 프로세스 목록 보여줌 >

-I : 자세한 형태의 정보를 출력

-u : 각프로세스의 사용자 이름과 시작시간을 보여준다.

-j : 작업 중심 형태로 출력한다.

-s : 시그널 중심 형태로 출력한다.

-v : 가상 메모리 중심 형태로 출력한다.

-m : 메모리 정보를 출력한다.

-a : 다른 사용자들의 프로세스도 보여준다.

-x : 로그인 상태에 있는 동안 완료되지 않은 프로세스들을 보여준다.

-S : child CPU 시간과 메모리 페이지 결함정보를 추가

-c : 커널 task_structure로 부터 명령이름을 보여준다.

-e : 환경을 보여준다.

-w : wide형태로 출력한다.

-h : 헤더를 출력하지 않는다

-r : 현재 실행중인 프로세스를 보여준다.

-n : USER와 WCHAIN을 위해 수치 출력을 지원

< 명령 출력 필드의 의미 >

USER : 프로세스 소유자의 계정

PID : 프로세스 구분 ID

RSS : 프로세스에 의해 사용되는 실제 메모리의 용량(Kbyte)

SZ : 프로세스의 자료와 스택의 크기

TIME : 현재까지 사용된 CPU의 시간(분, 초)

TTY : 프로세스의 제어 터미널

%CPU : 마지막 분 동안 프로세스가 사용한 CPU시간의 백분율

%MEM : 마지막 분 동안 프로세스가 사용한 메모리양의 백분율

START : 프로세스가 시작된 시간

STAT : 프로세스의 상태

-P : 수행가능/수행중

-T : 일시정지

-D : 대기상태

-S : 20초 미만의 짧은 휴식상태

-I : 20초 이상의 긴 휴식상태

-Z : 좀비 프로세스

COMNNAND : 명령어의 이름

< pstree [옵션] -프로세스 정보를 트리형태로 출력 >

-n : PID순으로 정렬

-p : 프로세스명과 함께 PID도 출력

< kill [옵션] 프로세스ID -프로세스 죽이기 >

-s : 특별히 보낼 시그날의 이름이나 번호 지정

-p : 시그날은 보내지 않고 그 프로세스의 이름만 보여준다.

-l : 시그날의 목록 출력

*강제종료시

kill -9 "PID"

*특정 데몬과 관련된 모든 프로세스를 종료하고 싶을때

killall "데몬이름"

< top [옵션] -프로세스의 CPU, MEMORY 사용량등 시스템의 전반적인 상황을 실시간으로 모니터링 >

-d 시간 : 화면 갱신 시간을 지정한다.

-q : 화면을 계속 갱신한다.

-c : 명령행 전체를 보여준다.

-i : idle 상태와 좀비 프로세스는 무시한다.

*top 실행중 명령어

k : 킬

r : nice 값 변경

l : top 맨 윗줄의 항목 on/off

m : 메모리 항목 on/off

t : 프로세스와 CPU 항목 on/off

c : command line 의 옵션 on/off

q : 프로그램 종료

MPICH2 GCC 버전을 설치해보자.

버전은 MPICH2 1.4 이다.

설치할 위치는 /engrid/enhpc 디렉토리 아래이다.

그리고 /engrid/enhpc 디렉토리는 작업을 수행할 노드에 모두 NFS 마운트를 해놓은 상태이다.

다운 받은 mpich2-1.4.tar.gz 을 /engrid/enhpc 디렉토리 아래에 압축을 푼다.

# apt-get update 

일단 패키지 업데이트 

# apt-get install -y synaptic 

시냅틱 패키지 관리자 설치

 [ 시작 ] - [ System ] - [ Synaptic Package Manager ] 실행

software-center 검색해서 설치

[ 시작 ] - [ System ] - [ Ubuntu Software Center ] 실행

 language support를 검색한다(아마 이까지는 Gnome도 동일 할듯하다)

language support 와 language support-qt가 있는데

설명을 보면 qt는 KDE에 설치하는듯하고 걍 버전은 그놈에 설치하는듯하다

(그리고 [ Favorites ] - [ System setting ] - [ Locale ] 에 가보면

install language-selector-qt to be able to add more languages. 라고 되어있다)

[ System settings ] - [ Locale ] 에 들어가서  

우선 Country or region: 에서 change.. 를 누르고

Asia,East 에서 South Korea 를 선택 하고 OK를 누른다

그리고 맨 밑에 있는 install new language를 클릭한다

그리고 Korean 을 클릭 한다

1. 터미널을 실행시켜 /usr/bin/ 디렉토리의 google-chrome 실행파일을 편집한다.

This guide offers an alternative method of loading the i915 driver in the 3.2.6 kernel without adding unsupported PPA's or using packages which are not from the official BackTrack repositories.

Recently I've been trying to get the i915 graphic driver loaded in the new 3.2.6 kernel. After upgrading from R1 > R2 I noticed that the new kernel does not seem to load the i915 driver on boot where as the older 2.6.39.4 kernel loaded it automatically. The new kernel remains functional however in my case my Dell XPS 15z laptop graphic session was stuck at 1280 x 1024, which for a screen that has 1920 x 1080 native resolution, looks quite ugly and bad.

A couple of community members have been posting how to get the driver loaded, but every guide I've seen involves using unsupported PPA's or packages that are not from the official backtrack repositories. With no disrespect to their work, myself being a bit of a perfectionist (or maybe a purist) I tend to not go down the unsupported PPA route if I can avoid it. This guide should hopefully help you get the i915 driver loaded, without the need to mess with any software sources or PPA's, keeping your BackTrack installation pure.

Machine specs

All of this was tested on my Dell XPS 15z laptop, the important specs are below:

i915.i915_enable_rc6=1 i915.lvds_downclock=1 i915.i915_enable_fbc=1 pcie_aspm=force

update-grub

modprobe -r nouveau
modprobe i915 modeset=1

blacklist nouveau

update-initramfs -u

video=i915:modeset=1

update-grub

로컬에 설치를 한 분들은 설정치도 않은 패스워드에 깜짝 놀란다.

root // toor