Ubuntu 22.04 에서는 netplan 이 업데이트 되어 설정법이 약간 바뀌었습니다.

네트워크 설정 파일을 생성 합니다.

# vi /etc/netplan/50-cloud-init.yaml 

* 설명

eno1 : 네트워크 장치명입니다. 명칭을 모를경우 ip link 명령으로 확인이 가능합니다.

addresses : 비트수까지 기록해줘야 합니다. netmask 를 입력하는 곳이 없기 때문입니다.

routes: via : 게이트웨이 IP 를 입력합니다.

nameservers: addresses : 네임서버 IP 를 입력합니다.

설정을 적용합니다.

# netplan apply

* 주의 : 룰에서 설정하는것이 아닌 iptables 명령을 통한 것이므로 리부팅이나 데몬 재시작시 룰이 초기화 되어 집니다.

iptables를 사용하여 22번 포트를 특정 대역에서만 열고 모두 차단하는 방법은 다음과 같습니다.
# iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j DROP

위의 명령을 실행하면, 192.168.1.0/24 대역에서 오는 SSH (22번 포트) 접근은 허용되고, 나머지 모든 IP 주소에서 오는 SSH 접근은 차단됩니다.

기존의 규칙이 있다면 -I 옵션을 사용해서 적용해야 합니다.

# iptables -I INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j DROP

기본 방화벽을 중지합니다.
# systemctl disable --now ufw

iptables 를 설치합니다.

# apt-get -y update
# apt-get -y install iptables-persistent
(설치중 물음에는 'Yes' 로 대답)

룰 파일 위치는 아래와 같습니다.

여기에서는 예시로 작성했으니 서버 상황에 맞게 수정해서 사용하시면 됩니다.

# vi /etc/iptables/rules.v4

iptables 가동하고, 부팅시 자동 실행되도록 합니다.

# systemctl enable --now iptables

적용된 iptables 룰을 확인합니다.

# iptables -nL

서버 운영중 통신 여부를 확인하기 위해 tcpdump 로 패킷 이동 상황을 보게되는 경우가 있습니다.

이경우 아래와 같은 명령으로 간단히 확인이 가능합니다.

* 네트워크 장치명 : eno2 일 경우

// 나가는 모든 패킷 확인하기

# tcpdump -i eno2

// 특정 포트로 확인하기

# tcpdump -i eno2 tcp port 3306

// 소스 IP 로 확인하기

# tcpdump -i eno2 src 192.158.10.2

// 목적지 IP 로 확인하기

# tcpdump -i eno2 dst 192.158.10.3

// ping 으로 수신, 송신 확인하기

# tcpdump -nni eno2 icmp

# tcpdump -nni eno2 src 192.168.10.2 and icmp

포트 체크를 위해 간단히 nc 라는 명령을 사용할 때가 있습니다.

그러나 일반적으로 아래와 같은 경우 결과를 변수에 넣거나 파일로 저장이 되지 않는데..

[ 잘 되지 않는 경우 ]

# nc -v -z sysdocu.tistory.com 80 > result.txt

# result=`nc -v -z sysdocu.tistory.com 80`

# echo $result

[ 해결 방법 ]

명령을 사용하거나 shell script 를 만들어서 사용해 보세요.

아래 예제는 결과를 출력하지만 파일로 저장하고 싶을 경우 echo "Success" > result.txt 과 같이 하면 됩니다.

# vi check.sh

# chmod 700 check.sh

# sh check.sh

Success

패키지 설치

# apt install fping

버전 확인

# fping --version
fping: Version 4.2

스캐닝

# fping -g 192.168.10.0/24

1개 호스트 포트 체크 (다운된 서버도 10 milliseconds 이내 응답)

# fping -t 10 192.168.10.2

PHP 에서 실행할때

$cmd = "/usr/sbin/fping -t 10 192.168.10.2";
$check = shell_exec($cmd);

echo $check;

root@sysdocu:~# vi cat /etc/netplan/50-cloud-init.yaml

(파일명은 상관없는듯 하다)

네트워크가 두개인 경우 아래와 같이 설정한다.

각 레벨별로 들여 쓰기를 하지 않으면 적용시 에러가 출력된다. (스페이스바 사용 할 것)

/28은 28비트를 의미하며 넷마스크 255.255.255.240 이 된다.

기타 비트 수가 궁금하면 아래 URL 을 참고 하자.

https://sysdocu.tistory.com/1331

아래와 같이 적용한다.

root@sysdocu:~# netplan apply

혹시 에러가 출력될 경우 '들여쓰기 (탭)' 이 있지 않나 살펴보자.

공백을 사용하려면 스페이스바로 만들어야 한다.

아래 명령으로 내려봅니다.

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -F

nc 명령으로 포트가 열렸는지 빠르게 (예시에서는 0.01 초) 확인이 가능하다.

root@sysdocu:~# nc -z -v 192.168.10.2 21

Ncat: Version 7.50 ( https://nmap.org/ncat )

Ncat: Connected to 115.68.221.85:21.

Ncat: 0 bytes sent, 0 bytes received in 0.01 seconds.

root@sysdocu:~# nc -z -v 192.168.10.2 22

Ncat: Version 7.50 ( https://nmap.org/ncat )

Ncat: Connection refused.

CentOS 7 버전 (Kernel 3.x 이상) 에서는 네트워크 장치명이 기존의 eth가 아닌 eno 등으로 자동으로 부여된다.

이 부분을 기존처럼 eth로 사용하기 위해서는 grub 파일을 수정 후 리빌드가 필요하다.

1. 기존 CentOS7 네트워크 장치명 확인

[root@sysdocu ~]# ifconfig

> eno1 로 확인

2. grub 파일 수정

[root@sysdocu ~]# vi /etc/default/grub

옵션 추가

GRUB_CMDLINE_LINUX="crashkernel=auto rhgb quiet net.ifnames=0 biosdevname=0"

3. 적용

[root@sysdocu ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

4. 이름 변경

- ifcfg-eno1 파일을 ifcfg-eth0 으로 변경

- 파일 내용의 명칭도 수정

5. 리부팅

본딩 모듈 로드

[root@sysdocu ~]# modprobe --first-time bonding

[root@sysdocu ~]​# lsmod | grep bonding

​​

​

본딩 인터페이스 생성

[root@sysdocu ~]# vi /etc/sysconfig/network-scripts/ifcfg-bond0

​

* 서브넷 마스크 변환표

​

Slave 인터페이스로 사용할 eth0,eth1 파일 수정

[root@sysdocu ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0

[root@sysdocu ~]​# vi /etc/sysconfig/network-scripts/ifcfg-eth1

​적용

[root@sysdocu ~]# systemctl restart network

* 주의 : 당연하지만, 기존 다른 네트워크 설정파일에 동일한 IP 가 셋팅되고, ONBOOT=yes 로 되어 있는경우 올라오지 않음