139
EPP 서버의 방화벽 설정 툴 : seteppiptable_beta_v1.tar.gz (첨부파일 참고)
첨부 파일 다운로드해 서버로 복사 암축 해제 후 실행해 설정이 가능 합니다.
- 기본 방화벽 정책
| 구분 | 설명 |
| iptables 의 운영 방침 |
iptable 운영 방법에는 2가지 정책(POLICY) 설정 방식이 있다. 1. port 에 대해 접근을 허용할 IP 를 설정한 후 마지막에 정책을 DROP 으로 셋팅하기 2. 정책을 ACCEPT 셋팅한 후 서비스하는 port 에 대해서만 허용/차단을 셋팅하기
EPP 서버에서는 운영에 가장 안전한 2번 방식을 사용한다. 1번 방식을 사용할 경우, iptables -F 명령을 실행하면 시스템의 모든 접근이 차단되는 이슈가 발생한다. |
| SSH 접근 |
SSH 허용 IP는 기본으로 모두에게 Accept 되어 있다. Tool 을 통해서 허용 IP 를 3개이상 설정한 후부터 나머지 IP 의 접근은 Drop 시키게 된다. |
| Web Admin 접근 |
8803, 8806 번 port 허용 IP를 제어한다. SSH 와 마찬가지로 3개 이상 허용IP 를 설정해야 나머지 IP 접근을 Drop 시킨다. 도메인을 구성하는 모든 서버에는 port 를 항상 허용한다. |
| DB 접근 |
Postgres DB( 8817, 8818, 8840, 8842) Mongo ( 8821, 8822, 8823, 8824, 8825 ) 는 서버간에는 항상 허용되어 있고, 추가로 허용 IP 를 설정할 수 있다. |
| 완전 개방 port |
에이전트가 반드시 연결해야 하는 port 는 모든 IP 에 대해 허용한다. ( 8804,8807,5465,5645,8809,8810,2186,2187,8080,443 ) |
| 서버간에만 개방하는 port |
도메인을 구성하는 서버간 이외에는 기본으로 차단되는 port는 다음과 같다. 이 port 중에는 추가로 다른 메뉴에 의해 개방할 수 있는 DB port 도 포함된다. 8805,8808,8819,8820,8841,8843,8831,8832,8816 8821,8822,8823,8824,8825,8813,8814,8815, 8803,8806,8850,8817,8818,8840,8842 |
| 로컬 접속 | 로컬 인터페이스로 오는 127.0.0.x 대역은 항상 허용해줘야 운영에 문제가 없다. |
-
전체 메뉴
- 현재 버전의 공통사항 !!!
|
1) 메뉴별로 허용 IP 는 30개까지만 추가할 수 있다. 2) 입력한 IP, PORT 에 대해서는 문법체크를 하지 않는다. 3) 허용 IP 의 Clean 기능은 현재는 해당 메뉴별로 전체를 삭제하는 기능만 제공한다. 4) 현재 버전은 SSH 를 제외한 port 변경은 지원하지 않는다. 차후 버전 가능. < 중요!!! > 모든 설정을 저장한 후에는 반드시 11. Apply iptables to System 메뉴를 통해, 시스템에 적용해야 한다. 그렇지 않을 경우 별도로 관리하는 파일에만 저장된다. |
- 1. SSH Access Control (22)
| 1. SSH Access Control 메뉴 | 설명 |
|
1. Add Allow IP to SSH |
SSH 접속을 허용할 IP 를 지정할 수 있다. 허용 IP 는 최대 30개를 넣을 수 있다.
<중요!!!> SSH 접속이 어떠한 문제로 안되면 시스템 접근이 불가능한 치명적인 상황이 오기 때문에, 이에 대한 방안으로 SSH 허용 / 차단 조건을 다음 같이 제공한다. 1. SSH 허용 IP 를 최소 3개 이상 입력하지 않은 경우 SSH port 는 차단하지 않는다. 2. 3개의 입력할 IP 가 없으면서 SSH port 차단을 원할 경우에는, 동일한 값을 입력해도 된다. 3. 사이트에서 SSH 접속 port 를 변경하는 경우가 있는데, 이 때에는 접근 허용/차단이 제대로 안될 수 있다. 본 Tool 을 통해 반드시 재설정 해줘야 한다. |
| 2. Show Allow IP to SSH | SSH 접속을 허용하는 IP 리스트를 보여준다. |
| 3. Clear Allow IP to SSH | SSH 접속을 허용하는 IP 를 비운다. |
-
2. Web Admin Access Control(8803,8806)
| 2. Web Admin Access Control 메뉴 | 설명 |
|
1. Add Allow IP to Web Admin |
Web Admin 접속을 허용할 IP 를 지정할 수 있다. 허용 IP 는 최대 30개를 넣을 수 있으며,
<중요!!!> Web Console 접속이 어떠한 문제로 안될 경우에 대비하여 이에 대한 방안으로 Web Admin 허용 / 차단 조건을 다음 같이 제공한다. 1. Web Admin 허용 IP 를 최소 3개 이상 입력하지 않은 경우 Web Admin port 는 차단하지 않는다. 2. 3개의 입력할 IP 가 없으면서 Web Admin port 차단을 원할 경우에는, 동일한 값을 입력해도 된다. |
| 2. Show Allow IP to Web Admin | Web Admin 접속을 허용하는 IP 리스트를 보여준다. |
-
3. Server Access Control
| 3. Server Access Control 메뉴 | 설명 |
|
1. Add Allow New Server IP to My Server |
My Server 에 접속을 허용할 서버 IP 를 지정할 수 있다. 서버간에는 EPP 서버에서 사용하는 모든 Port 를 열어줄 필요가 있기 때문에 특별히 서버 추가 메뉴를 제공한다.
< 중요!!!> 이 툴은 로딩될 때 기본으로는 현재 도메인으로 묶여있는 모든 IP 리스트를 자동으로 가져오지만, iptable 을 적용중인 상태로 운영중인 도메인에 새로 서버를 추가할 때는 반드시 이 메뉴를 통해 미리 허용 IP 로 등록시켜주는 작업을 해야한다.
ex) 1.1.1.1 과 2.2.2.2 가 도메인으로 연결되어 본 tool 이 적용된 상태로 운영중일 때, 3.3.3.3 을 추가하는 케이스
아무 문제없이 운영 가능하다. |
| 2. Show Allow New Server IP to My Server | My Server 접속을 허용하는 IP 리스트를 보여준다. |
| 3. Clear Allow New Server IP to My Server | My Server 접속을 허용하는 IP 를 비운다. |
-
( 3~8 ) DB Access Control
각 DB 별로 허용 IP 를 추가할 수 있으며, 설명은 생략한다.
- 9. Custom Access Control
| 9. Custom Access Control 메뉴 | 설명 |
|
1. Add Custom Allow |
ex ) 9999 port 에 대해 192.168.0.1 만 open 하고 나머지는 drop 시킨다.
ex) 10000 port 에 대해 7.7.7.7 을 drop 시킨다.
|
| 2. Show Custom Allow | Custom 하게 접속을 허용/차단하는 IP 리스트를 보여준다. |
| 3. Clear Custom Allow | Custom 하게 접속을 허용/차단하는 IP 를 비운다 |
-
10. Show System's iptables
iptables nvL - line-numbers 명령으로 현재의 iptable 적용 상태를 보여준다.
- 11. Apply iptables to System
모든 설정을 마치고 나면 반드시 시스템에 적용시키는 메뉴를 호출해야 한다.
그렇지 않으면 설정파일에만 저장된다. 성공적으로 적용시 다음 이미지가 표시된다.
