iptables -A [chain] -d 111.111.111.111 -j LOG --log-prefix "log title:"

처럼 명령해 주면.. [chain] 에서 정해준 출은 목적지 111.111.111.111 가는 패킷은 /var/log/syslogd 파일에
log title: 라고 시작하면서 로그를 생성해 준다.

주의할점은.. 위 LOG 명령전에 DROP 규칙이 있으면.. 먼저 DROP되므로 로그가 생성될수 없다.

그리고..

--dport 1:1024               1~1024 포트 제어
--dport ~ 1:1024            1~1024 포트 이외의것

-d 222.111.100.0/24  식으로 222.11.199.1 ~ 255까지 차단된다.
A.B.C.0/24 클래스별 제어
A.B.0.0/16 그 이상
A.0.0.0/8 그 이상 범위 IP제어


[출처] ㅎㅓ준 http://cafe.naver.com/worldbest/98

외부에서 특정 데몬으로 접근을 제한하는 설정 방법은 여러가지가 있습니다.

 1. iptables
 2. 각 데몬의 설정파일
 3. pam (access.conf)
 4. hosts.deny 등

이중 hosts.deny 로 특정 아이피에서만 ssh, vsftp 접근을 허용하려 한다면 아래와 같이 설정합니다.
설정 후 저장과 동시에 적용되니 주의하셔야 합니다.
telnet 등 원격 접속 가능한 또 다른 데몬을 띄운 후 작업하시기 바랍니다. 

# vi /etc/hosts.deny
sshd : All     EXCEPT 192.168.100.100
vsftpd : All     EXCEPT 192.168.100.100

[차단]
 iptables -A INPUT -s 11.22.33.44 -j DROP

[해제]
 iptables -D INPUT -s 11.22.33.44 -j DROP

어디선가 자신의 서버를 공격하고 있습니다. 그쪽 IP가 접근 못하게 막아야겠죠? 일반적으로 firewall이나 그밖의 다른 보안정책을 사용중이라면 쉽게막을수 있을 것입니다. 아니면 tcp_wrapper에 의한 hosts.allow, hosts.deny를 이용해도 쉽게 막히겠죠.
하지만 제가 여기서 설명하고자 하는것은 그런 것 보다 더욱 쉽고 간단하게막을 수 있는 방법입니다. 너무 간단하기 때문에 임시방편으로 사용하기 좋습니다.

# route add -host 192.168.1.35 reject 

자 이건 어떻습니까? 192.168.1.35에서는 이제 서버에 얼씬도 못하게 됩니다.
앗! IP가 다른 그 옆의 컴퓨터에서 불법접속을 재시도 한다구요?

그렇다면 아래와 같이
# route add -net 192.168.1.0 netmask 255.255.255.0 reject 하시던지

아니면 더 화끈하게
# route add -net 192.0.0.0 netmask 255.0.0.0 reject 해주시면 됩니다.

이것을 해제하고자 할때에는 'add' 부분만 'del'로 바꿔서 똑같이 명령을 내리면 원래대로 해제됩니다.

netstat 를 이용하여 간단하게 현재 포트를 감시할수 있습니다. 
(포트 스캐닝은 잘 알려져있듯이 크래커들이 쓰는 첫번째 방법입니다.) 


시스템에서 현재 열려져 있는 포트 보여주기 
#netstat -nlt 
n : numeric - 주소를 보여줍니다. 
l : listen - 열려진 포트 
t : tcp - tcp 연결 상태 

[user@mymachine /home/user]# netstat -ntl 
Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State 
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 

위와 같은 경우 
즉, 80번(웹) -> 3306 (mysql) -> 22(ssh) 포트가 열려져있다는 것을 보여줍니다. 

시스템에서 실제 활동중인 포트 보여주기 
#netstat -nat 
n : numeric - 주소를 보여줍니다. 
a : active - 활동중인 포트 
t : tcp - tcp 연결 상태 

[user@mymachine /user]# netstat -nat 
Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address State 
tcp 0 0 206.112.62.102:80 204.210.35.27:3467 ESTABLISHED 
tcp 0 0 206.112.62.102:80 208.229.189.4:2582 FIN_WAIT2 
tcp 0 7605 206.112.62.102:80 208.243.30.195:36957 CLOSING 
tcp 0 0 206.112.62.102:22 10.60.1.18:3150 ESTABLISHED 
tcp 0 0 206.112.62.102:22 10.60.1.18:3149 ESTABLISHED 
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 

3개의 웹 연결과 2개의 ssh 연결을 보여주고 있습니다. 

FIN_WAIT2와 CLOSING 및 netstat 의 또 다른 기능은 man netstat을 참조하세요.

PDNS 에 DDNS 기능이 있는것 같은데, 아직 개발 단계에 있다는 말도 있고..

SSH 키를 이용해 인증하는것 같아 제 나름의 방법대로 구축 방법을 기술하였습니다.

1. Client 설정

Client 서버에서 네임서버로 IP 정보를 전송해야 하므로, Client 서버에 아래와 같은 명령을 이용하여 주기적으로 IP를 체크, 업데이트 할 수 있도록 해야합니다.

아래 인증 방법 두 가지 중 하나를 이용하면 됩니다.

인증 방법1

# lynx -source -auth=아이디:패스워드 'http://ns1.sysdocu.com/update.php?도메인'

인증 방법2

# wget -O - --http-user=아이디 --http-passwd=패스워드 'http://ns1.sysdocu.com/update.php?도메인'

위 스크립트가 5분마다 자동 실행될 수 있도록 자동 스케쥴러에 등록해 놓습니다.

아래 예에서는 아이디 및 패스워드, 갱신할 도메인 sysdocu.com 을 실제로 입력하였습니다.

# crontab -e

2. Server 설정

네임서버에서는 Client 서버의 IP 정보를 수시로(1분 마다) 체크 하고 있다가 변경되어질 때, 업데이트 합니다.

그래서 Client 서버에서 보내오는 신호를 체크하고 DB에 저장된 IP값과 비교, IP 값이 다를 경우 업데이트 하는 스크립트를 만들어야 합니다.

우선 pdns DB에 users 테이블을 추가합니다. 아이디로 검색해 본인이 사용하는 도메인이 맞는지 확인하기 위해 사용됩니다.

# vi users.sql

# mysql -p pdns < users.sql

Enter password:  (패스워드 입력)

추후에 사용할때는 users 테이블에 실제 사용하는 아이디랑 도메인이 들어가 있어야 작동을 합니다.

예) user1    sysdocu.com

      user1    www.sysdocu.com

      user2    system.sysdocu.com

# touch /usr/local/apache/htdocs/update.php    // ns1.sysdocu.com 의 기본 디렉토리 안에 빈페이지를 생성합니다.

# vi /root/ipcheck.sh

이제 위 스크립트가 1분마다 자동으로 실행될 수 있도록 자동 스케쥴러에 등록해 놓습니다.

# crontab -e

또한 인증 받은 사람만(아이디, 패스워드로 확인) 업데이트가 가능하도록 아파치 웹인증 암호를 걸어 놓습니다.

# cd /usr/local/apache/htdocs    // ns1.sysdocu.com 의 기본 디렉토리

# vi .htaccess

# /usr/local/apache/bin/htpasswd -c .htpasswd sysdocu

New password : ********

Re-type new password : ********

위와 같이 아이디 sysdocu 와 그에 해당하는 패스워드를 설정했습니다. 이제 생성한 아이디, 패스워드 사용자만 update.php 파일에 접근이 가능합니다.

여기에 아이디, 패스워드를 추가 할때는 -c 옵션을 빼고 동일하게 명령을 수행하면 됩니다.

그리고 .htpasswd 파일의 위치를 잘 입력해주어야 합니다. 현재 디렉토리에서는 파일명만 적되, 다른 디렉토리에 위치한 상태에서 명령을 내릴 때는 절대경로, 또는 상대경로를 이용하여 위치를 정확히 입력합니다.

# /usr/local/apache/bin/htpasswd .htpasswd UserID

-c 옵션은 초기 사용자를 생성 할때만 사용됩니다. 여러개의 아이디를 만든 후 -c 옵션을 잘못 주었다면 기존의 아이디가 모두 사라져버리므로 주의를 해야 합니다. (주기적으로 인증 파일 백업 권장)

* 참고 : 이용자 삭제

# /usr/local/apache/bin/htpasswd -D .htpassd UserID

BIND는 오픈 소스의 성격에 맞게 다양한 로그와 디버거 정보를 제공하고 있습니다.

특히 로그는 성격에 맞게 Category로 나누어져 있으며, Category별로 다양하게 저장이 가능합니다.

시스템의 부하와 디스크의 공간이 있다면 로그를 많이 남겨두는 것이 장애시 분석을 가능하게 하는 방법입니다. 가급적이면 로그를 많이 남겨두는 것이 좋습니다.

로그는 named.conf에 적용을 하면 되며, 카테고리별 설명은 아래와 같습니다.

아래는 BIND9에서 제공하는 모든 Category를 적용한 샘플입니다. 

logging {
	channel "default_syslog" {
		// Send most of the named messages to syslog.
		syslog local2;
		severity debug;
	};
	channel "default_syslog" {
		file "log/default.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "general_syslog" {
		file "log/general.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "database_syslog" {
		file "log/database.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "security_syslog" {
		file "log/security.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "config_syslog" {
		file "log/config.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "resolver_syslog" {
		file "log/resolver.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "xfer-in_syslog" {
		file "log/xfer-in.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "xfer-out_syslog" {
		file "log/xfer-out.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "notify_syslog" {
		file "log/notify.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "client_syslog" {
		file "log/client.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "unmatched_syslog" {
		file "log/unmatched.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "network_syslog" {
		file "log/network.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "update_syslog" {
		file "log/update.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "update_security_syslog" {
		file "log/update_security.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "queries_syslog" {
		file "log/queries.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "dispatch_syslog" {
		file "log/dispatch.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "dnssec_syslog" {
		file "log/dnssec.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "lame-servers_syslog" {
		file "log/lame-servers.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};
	channel "delegation-only_syslog" {
		file "log/delegation-only.log" versions 3 size 20m;
		severity debug;
		print-category yes;
		print-severity yes;
		print-time yes;
	};

	category default { default_syslog; };
	category general { default_syslog; };
	category database { database_syslog; };
	category security { security_syslog; };
	category config { config_syslog; };
	category resolver { resolver_syslog; };
	category xfer-in { xfer-in_syslog; };
	category xfer-out { xfer-out_syslog; };
	category notify { notify_syslog; };
	category client { client_syslog; };
	category unmatched { unmatched_syslog; };
	category network { network_syslog; };
	category update { update_syslog; };
	category update-security { update_security_syslog; };
	category queries { queries_syslog; };
	category dispatch { dispatch_syslog; };
	category dnssec { dnssec_syslog; };
	category lame-servers { lame-servers_syslog; };
	category delegation-only { delegation-only_syslog; };	
};
[출처] BIND9를 위한 로그 설정|작성자 네임서버
네임서버 이야기 | 네임서버 (http://blog.naver.com/netpiadns/50021687725)

[출처] 네임서버 이야기 | 네임서버 (http://blog.naver.com/netpiadns/50021687725)

1. 설치

# cd /usr/local/src

# wget http://ftp.isc.org/isc/bind9/9.3.6/bind-9.3.6.tar.gz
# tar xvzf bind-9.3.6.tar.gz
# cd bind-9.3.6/contrib/queryperf
# ./configure
# make
 

2. 사용 방법

우선 테스트 할 도메인 리스트를 만듭니다.

# cd utils

# chmod 755 gen-data-queryperf.py

# ./gen-data-queryperf.py -n 1000 -p 100 -t com > domains.txt

-n : 도메인 갯수

-p : 도메인 중복률 (100 은 100% 다른 도메인을 만들어냅니다)

-t : 도메인 종류 (.com 만 만듭니다)

# cd ..

# ./queryperf  -d utils/domains.txt -s dns1.sysdocu.tistory.com -q 1000

-d: 질의할 도메인 리스트

-s : 네임서버 (IP로도 질의 가능)

-q : 1초당 쿼리 갯수