A, B, C 3대의 컴퓨터가 있습니다.
A 컴퓨터는 랜카드가 2개입니다
ㄱ랜카드는 인터넷에 연결되어있고,
ㄴ랜카드는 인터넷에 연결안된 스위치에 연결되어 있습니다.
B, C 컴퓨터는 랜카드가 1개이며, 인터넷에 연결안된 스위치에 연결되어 있습니다.
A컴퓨터는 NTP 서버로 사용합니다.
인터넷 타임서버로부터 시간을 받아와서 인터넷이 연결안된 스위치로 시간을 뿌려줍니다.
인터넷이 연결되지 않은 스위치는 오직 시간 동기화 용으로만 사용합니다.
A컴퓨터의 인터넷이 연결된 랜카드에서
시간을 받아오는 것을 제외한 모든 통신을 차단하고 싶습니다.
ufw 방화벽 정책을 어떻게 구성하면 되겠습니까?
데비안10입니다.
hi
¼¹ö¿¡ ntp ½ÅÈ£¸¦ ÁÙ °ÍÀ¸·Î ¿¹»óµÇ´Â IP ÁÖ¼Ò¿¡ ´ëÇؼ¸¸ Æ÷Æ® 123À» ÀÔ·ÂÀ¸·Î È°¼ºÈÇÏ´Â °ÍÀÔ´Ï´Ù.
ntp ±¸¼º ÆÄÀÏ /etc/ntp.conf¿¡´Â ¼¹ö°¡ °¡¸®Å°´Â ¿©·¯ ntp ¼¹öÀÇ ÁÖ¼Ò°¡ ÀÖ½À´Ï´Ù. lookup ¸í·ÉÀ» »ç¿ëÇÏ¿© °¢ ÁÖ¼Ò¿¡ ÇØ´çÇÏ´Â ip¸¦ ãÀ» ¼ö ÀÖ½À´Ï´Ù.
host -t a 0.debian.pool.ntp.org
±×·± ´ÙÀ½ ¼¹ö ¹æȺ®¿¡ ±ÔÄ¢À» Ãß°¡ ÇÒ ¼ö ÀÖ½À´Ï´Ù
iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT
A-2 192.168.133.195/24
B-1 192.168.133.196/24 - gw 192.168.133.195
C-1 192.168.133.197/24 - gw 192.168.133.195
--------------------------
A
# UDPÆ®·¡Çȵµ ÀÏ´Ü conntrack¿¡ ÀúÀåµÇ¾îÀÖ´Ù
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -i eth1 -o eth0 -s 192.168.133.0/24 -d 203.248.240.0/24 --dport 123 -j MASQURADE
iptables -A FORWARD -i eth1 -s 192.168.133.0/24 -d 203.248.240.0/24 -p udp --sport 123 --dport 123
iptables -A FORWARD -i eth1 -s 192.168.133.0/24 -d 203.248.240.0/24 -p udp --sport 1024:65535 --dport 123
A-1Àº ¿ÜºÎip¸¦ ¹Ù·Î ¹Þ¾Æ¿À´Â °ÍÀÌ ¾Æ´Ñ, iptime°øÀ¯±â¿¡ ¿¬°áµÇ¾î ÀÖ½À´Ï´Ù. ÀÌ·² ¶§¿¡´Â ¾î¶»°Ô ÇØ¾ß ÇÏ´ÂÁö¿ä?
´Ù¸¸ 203.248.240. ÂÊÀº time.bora.net ¾ÆÀÌÇǶó¼ ntp¼³Á¤À» Àú¼¹ö·Î (dnsµ¿ÀÛÀ»¾ÈÇÒÅ×´Ï ip·Î)¼³Á¤ÇØÁּž餩°Å°í
FORWARD output Àº ±âº¸ÀûÀ¸·Î acceptÇؾߤʤ©°Å°¡Å¿ä
¸®´ª½ºÄ¿³Î ip forward¤¾ ¤Ã¿ë½ÃÄѾßÇÒ°Å°°³×¿ä
±×³É¶°¿À¸£´Â´ë·Î ÀÛ¼ºÇѰŶó ¾î¶³Áø ¸ð¸£°Ú³×¿ä
iptables -A FORWARD -i eth1 -s 192.168.133.0/24 -d 203.248.240.0/24 -p udp --sport 123 --dport 123 -j ACCEPT
iptables -A FORWARD -i eth1 -s 192.168.133.0/24 -d 203.248.240.0/24 -p udp --sport 1024:65535 --dport 123 -j ACCEPT