이 름
ipfwadm − IP 방 화 벽 , 통 계 분 석 관 리 도 구
개 요
ipfwadm
-A 명 령 매 개 변 수
[옵 션 ]
ipfwadm -I 명 령 매 개 변
수 [옵 션 ]
ipfwadm -O 명 령 매 개 변
수 [옵 션 ]
ipfwadm -F 명 령 매 개 변
수 [옵 션 ]
ipfwadm -M [ -l | -s ] [옵 션 ]
설 명
Ipfwadm 은 리 눅 스 커 널 에 서 IP 방 화 벽 , 통 계 분 석 규 칙 을 설 정 , 유 지 , 감 독 하 기 위 한 도 구 이 다 . 이 규 칙 은 4 개 의 범 주 로 나 뉜 다 : IP 패 킷 의 통 계 분 석 , IP 입 력 방 화 벽 , IP 출 력 방 화 벽 , 그 리 고 IP 전 달 방 화 벽 . 규 칙 은 각 범 주 마 다 따 로 관 리 한 다 . 자 세 한 내 용 은 ipfw(4) 을 참 고 하 라 .
옵 션
ipfwadm 에 서 사 용 하 는 옵 션 은 몇 개 의 그 룹 으 로 나 뉜 다 .
범
주
적 용 시 키 고 자
하 는 명 령 에 대
하 여 규 칙 범 주
를 선 택 하 기 위
해 다 음 과 같 은
플 래 그 가 사 용
된 다 :
-A [방 향 ]
IP 통 계 분 석 규 칙 . 선 택 적 으 로 방 향 을 명 시 할 수 있 다 . (in, out, 또 는 both), 이 는 통 계 를 나 가 는 또 는 들 어 오 는 패 킷 에 대 해 서 만 수 행 하 도 록 지 시 한 다 . 기 본 방 향 값 은 both이 다 .
|
-I |
IP 입 력 방 화 벽 규 칙 . | ||
|
-O |
IP 출 력 방 화 벽 규 칙 . | ||
|
-F |
IP 전 달 방 화 벽 규 칙 . | ||
|
-M |
IP 매 스 커 레 이 딩 (masquerading) 관 리 . 이 범 주 는 다 음 -l (보 여 주 기 ) 또 는 -s (타 임 아 웃 시 간 설 정 ) 명 령 하 고 만 조 합 하 여 사 용 할 수 있 다 . |
한 번 에 단 한 가 지 만 사 용 한 다 .
명
령
다 음 옵 션 은 수
행 할 특 정 행 위
를 명 시 한 다 . 특
별 한 언 급 이 없
는 한 , 명 령 행 에
서 단 한 가 지 만
사 용 가 능 하 다 .
-a [정 책 ]
선 택 한 목 록 에 대 하 여 하 나 또 는 그 이 상 의 규 칙 을 추 가 한 다 (Append). 회 계 분 석 의 경 우 에 는 어 떠 한 정 책 도 명 시 해 선 안 된 다 . 방 화 벽 규 칙 의 경 우 다 음 정 책 중 한 가 지 를 명 시 해 야 한 다 : accept, deny, 또 는 reject. 출 발 지 또 는 목 적 지 이 름 이 하 나 이 상 의 주 소 를 나 타 낼 때 는 그 것 이 나 타 내 는 모 든 주 소 조 합 에 대 하 여 규 칙 이 추 가 된 다 .
-i [정 책 ]
선 택 한 목 록 의 맨 앞 에 하 나 또 는 그 이 상 의 규 칙 을 삽 입 한 다 . 자 세 한 내 용 은 -a 에 대 한 설 명 을 참 고 하 라 .
-d [정 책 ]
선 택 한 규 칙 목 록 으 로 부 터 하 나 또 는 그 이 상 의 규 칙 을 삭 제 한 다 . 문 법 은 추 가 /삽 입 명 령 과 동 일 하 다 . 명 시 된 매 개 변 수 는 추 가 또 는 삽 입 명 령 에 서 사 용 했 던 매 개 변 수 와 일 치 해 야 한 다 . 그 렇 지 않 은 경 우 엔 목 록 에 서 규 칙 을 제 거 하 지 않 는 다 . 오 로 지 첫 번 째 부 합 되 는 규 칙 만 삭 제 될 뿐 이 다 .
|
-l |
선 택 한 목 록 에 있 는 모 든 규 칙 을 보 여 준 다 . 이 명 령 은 -z (카 운 터 를 0으 로 재 설 정 ) 명 령 과 같 이 사 용 할 수 있 다 . 이 때 는 현 재 값 을 출 력 한 직 후 패 킷 과 바 이 트 카 운 터 가 다 시 0 으 로 설 정 된 다 . -x 옵 션 이 없 으 면 패 킷 과 바 이 트 카 운 터 값 이 값 K 또 는 값 M, 으 로 표 시 되 는 데 여 기 서 1K는 1000을 , 1M는 1000K(가 장 가 까 운 정 수 값 으 로 반 올 림 내 림 표 시 )을 의 미 한 다 . 몇 가 지 더 많 은 기 능 에 대 해 서 는 -e 와 -x 플 래 그 도 참 고 하 라 . | ||
|
-z |
선 택 한 목 록 의 모 든 규 칙 에 대 하 여 패 킷 과 바 이 트 카 운 터 를 0으 로 돌 려 놓 는 다 . 이 명 령 은 -l (보 여 주 기 ) 명 령 과 함 께 사 용 할 수 있 다 . | ||
|
-f |
는 선 택 한 규 칙 목 록 을 비 워 버 린 다 . |
-p 정 책
선 택 한 방 화 벽 유 형 에 대 한 기 본 정 책 을 바 꾼 다 . 정 책 으 로 사 용 하 는 값 은 accept, deny, 또 는 reject중 하 나 이 다 . 부 합 되 는 규 칙 이 발 견 되 지 않 을 때 사 용 하 는 것 이 기 본 정 책 이 다 . 이 동 작 은 IP 방 화 벽 에 만 사 용 하 는 것 으 므 로 with the -I, -O, 그 리 고 -F 플 래 그 와 만 사 용 한 다 .
-s tcp tcpfin udp
매 스 커 레 이 딩 에 사 용 되 는 타 임 아 웃 값 을 바 꾼 다 . 이 명 령 은 언 제 나 3 개 의 매 개 변 수 를 갖 는 데 각 각 TCP 세 션 에 대 한 타 임 아 웃 값 , FIN 패 킷 을 받 은 후 TCP 세 션 에 대 한 값 , 그 리 고 UDP 패 킷 에 대 한 값 이 다 . 타 임 아 웃 값 에 0 을 적 으 면 현 재 적 용 되 고 있 는 값 을 보 존 한 다 는 뜻 이 다 . 이 동 작 은 오 로 지 -M 플 래 그 와 만 사 용 한 다 .
|
-c |
선 택 한 방 화 벽 유 형 에 대 하 여 IP 패 킷 이 허 가 , 거 부 (deny) 또 는 거 절 (reject)될 것 인 지 점 검 한 다 . 이 동 작 은 IP 방 화 벽 에 만 관 계 되 므 로 -I, -O, 그 리 고 -F 플 래 그 와 만 사 용 한 다 . | ||
|
-h |
도 움 말 . 명 령 문 법 에 대 한 설 명 을 보 여 준 다 .( 현 재 는 매 우 간 단 하 게 보 여 준 다 ) |
매
개 변 수
다 음 매 개 변 수
는 추 가 , 삽 입 , 삭
제 , 점 검 명 령 과
함 께 사 용 할 수
있 다 :
-P 프 로 토 콜
규 칙 또 는 점 검 할 패 킷 의 프 로 토 콜 을 말 한 다 . 프 로 토 콜 로 올 수 있 는 값 은 tcp, udp, icmp, 또 는 all이 다 . all 은 모 든 프 로 토 콜 을 말 하 며 이 옵 션 이 생 략 된 경 우 사 용 하 는 기 본 값 이 다 . All 은 점 검 명 령 과 사 용 하 지 못 할 것 이 다 .
-S 주 소 [/매 스 크 ] [포 트 ...]
출 발 지
명 시 (선 택 적 ). 주
소 에 는 호 스 트
명 , 네 트 웍 명 또
는 평 범 한 IP 주 소
가 올 수 있 다 . 매
스 크 는 네 트 웍
매 스 크 또 는 간
단 한 값 이 될 수
있 는 데 후 자 의
경 우 네 트 웍 매
스 크 에 서 왼 편
에 오 는 1 의 갯 수
가 몇 개 인 지 를
가 리 키 는 값 이
다 . 따 라 서 24 라
는 매 스 크 값 은
255.255.255.0와 동 일 하
다 .
출 발 지 에 는 하
나 이 상 의 포 트
명 시 또 는 ICMP 유 형
명 시 가 가 능 하
다 . 각 각 은 서 비
스 명 , 포 트 번 호
또 는 (숫 자 표 현
의 ) ICMP 유 형 이 될 수
있 다 . 이 절 에 서
앞 으 로 포 트 는
포 트 명 시 또 는 ICMP
유 형 을 가 리 키
는 의 미 로 사 용
한 다 . 포 트 의 범
위 를 명 시 할 수
있 는 데 형 식 은
다 음 과 같 다 . 포
트 :포 트 . 참 고
로 출 발 지 와 도
착 지 주 소 에 적
을 수 있 는 포 트
의 갯 수 는 IP_FW_MAX_PORTS
(현 재 10) 값 을 넘 어
선 안 된 다 . 여 기
서 포 트 범 위 는 2
개 의 포 트 로 간
주 한 다 .
TCP, UDP, ICMP 패 킷 의 첫 번
째 조 각 이 아 닌
패 킷 에 대 하 여
방 화 벽 은 항 상
허 가 한 다 . 통 계
분 석 목 적 을 위
해 이 러 한 두 번
째 이 후 조 각 들
은 특 별 히 처 리
되 며 다 른 방 식
으 로 계 산 한 다 .
포 트 번 호 0xFFFF (65535)는
TCP, UDP 패 킷 중 두 번
째 이 후 조 각 에
대 하 여 사 용 된
다 . 이 러 한 패 킷
은 그 들 의 포 트
번 호 가 마 치 0xFFFF인
것 처 럼 통 계 에
서 다 룬 다 . 0xFF (255) 번
은 ICMP 패 킷 의 두 번
째 이 후 패 킷 에
대 하 여 사 용 한
다 . 이 러 한 패 킷
은 포 트 번 호 가
마 치 0xFF인 것 처 럼
통 계 에 서 다 룬
다 . 명 시 한 명 령
또 는 프 로 토 콜
마 다 사 용 하 는
포 트 가 있 으 므
로 포 트 에 대 한
제 한 이 자 동 으
로 이 뤄 진 다 . 포
트 는 다 음 tcp, udp,
그 리 고 icmp 프 로
토 콜 과 함 께 사
용 할 수 있 다 .
이 옵 션 이 생 략
되 면 출 발 지 주
소 로 서 기 본 주
소 /매 스 크 0.0.0.0/0
(모 든 주 소 와 일
치 )가 사 용 된 다 .
점 검 명 령 에 서
는 이 옵 션 이 꼭
필 요 하 다 . 이 때
는 꼭 포 트 를 하
나 만 명 시 해 야
한 다 .
-D 주 소 [/매 스 크 ] [포 트 ...]
도 착 지 명 시 (선 택 적 ) See the desciption of the 자 세 한 문 법 , 기 본 값 그 리 고 다 른 사 항 에 대 해 서 는 -S (출 발 지 ) 플 래 그 에 대 한 설 명 을 참 고 하 라 . ICMP 유 형 은 -D 플 래 그 와 사 용 할 수 없 다 : ICMP 유 형 은 오 로 지 -S 플 래 그 뒤 에 서 만 사 용 한 다 .
-V 주 소
패 킷 을 받 거 나 보 내 는 통 로 가 되 어 주 는 인 터 페 이 스 에 대 한 주 소 로 서 선 택 적 이 다 . 주 소 는 호 스 트 명 또 는 평 범 한 IP 주 소 를 사 용 한 다 . 호 스 트 명 을 사 용 하 는 경 우 딱 하 나 의 IP 주 소 로 해 결 되 어 야 한 다 . 이 옵 션 이 생 략 되 면 0.0.0.0 이 라 고 가 정 하 는 데 이 는 특 별 히 모 든 인 터 페 이 스 를 의 미 한 다 . 점 검 명 령 에 서 는 이 옵 션 을 꼭 사 용 해 야 한 다 .
-W 이 름
패 킷 을 주 고 받 는 인 터 페 이 스 의 이 름 으 로 서 선 택 적 이 다 . 생 략 되 면 빈 문 자 열 로 가 정 하 는 데 이 는 모 든 인 터 페 이 스 명 을 의 미 한 다 . 점 검 명 령 의 경 우 이 옵 션 은 필 수 적 이 다 .
기
타 옵 션
다 음 과 같 은 추
가 옵 션 이 있 다 :
|
-b |
양 방 향 모 드 . 규 칙 을 양 방 향 모 두 의 IP 패 킷 에 적 용 하 도 록 한 다 . 이 옵 션 은 추 가 , 삽 입 , 삭 제 명 령 하 고 만 같 이 사 용 할 수 있 다 . | ||
|
-e |
확 장 출 력 . 이 옵 션 을 주 면 list 명 령 에 대 하 여 인 터 페 이 스 주 소 와 규 칙 옵 션 (존 재 한 다 면 )을 추 가 로 보 여 준 다 . 방 화 벽 목 록 의 경 우 패 킷 과 바 이 트 카 운 터 ( 통 계 분 석 규 칙 에 있 어 서 는 기 본 설 정 이 다 )를 보 여 주 며 TOS 매 스 크 도 보 여 준 다 . -M 와 함 께 사 용 하 면 , 델 타 시 퀀 스 번 호 와 관 련 된 정 보 도 출 력 한 다 . 이 옵 션 은 오 로 지 list 명 령 하 고 만 사 용 할 수 있 다 . | ||
|
-k |
ACK 비 트 가 설 정 된 TCP 패 킷 하 고 만 부 합 한 다 .( 이 옵 션 은 다 른 프 로 토 콜 의 패 킷 에 대 해 서 는 무 시 된 다 ) 이 옵 션 은 추 가 , 삽 입 , 삭 제 명 령 하 고 만 같 이 사 용 한 다 . | ||
|
-m |
전 달 허 용 하 는 패 킷 에 대 하 여 매 스 커 레 이 드 한 다 . 이 옵 션 이 주 어 지 면 규 칙 에 부 합 되 는 패 킷 에 대 하 여 마 치 지 역 호 스 트 에 서 나 가 는 것 처 럼 매 스 커 레 이 드 해 준 다 . 물 론 , 방 화 벽 을 통 과 하 여 되 돌 아 오 는 패 킷 을 인 식 하 여 자 동 으 로 원 래 의 출 발 지 로 보 내 준 다 . 이 옵 션 은 전 달 방 화 벽 규 칙 에 서 accept 정 책 (또 는 accept 를 기 본 정 책 으 로 명 시 한 경 우 ) 하 고 만 사 용 하 며 커 널 은 CONFIG_IP_MASQUERADE 이 정 의 된 채 로 컴 파 일 되 어 있 어 야 한 다 . | ||
|
-n |
수 치 출 력 . IP 주 소 와 포 트 번 호 가 수 치 형 태 로 출 력 된 다 . 기 본 적 으 로 프 로 그 램 은 가 능 한 한 호 스 트 명 , 네 트 웍 명 , 서 비 스 명 으 로 출 력 하 고 자 한 다 . | ||
|
-o |
부 합 하 는 패 킷 에 대 하 여 커 널 로 깅 을 하 도 록 한 다 . 어 떤 규 칙 에 대 하 여 이 옵 션 을 설 정 해 두 면 리 눅 스 커 널 은 모 든 부 합 하 는 패 킷 에 대 하 여 ( 마 치 대 부 분 의 IP 헤 더 필 드 처 럼 ) printk()를 사 용 하 여 출 력 한 다 . 이 옵 션 은 리 눅 스 커 널 을 CONFIG_IP_FIREWALL_VERBOSE 정 의 하 고 컴 파 일 한 경 우 에 만 유 효 하 다 . 이 옵 션 은 추 가 , 삽 입 , 삭 제 명 령 에 서 만 사 용 한 다 . |
-r [포 트 ]
패 킷 을 지 역 적 소 켓 으 로 리 다 이 렉 트 한 다 . 이 옵 션 이 주 어 지 면 패 킷 이 원 격 호 스 트 로 부 터 온 것 이 라 할 지 라 도 지 역 적 소 켓 으 로 리 다 이 렉 트 된 다 . 명 시 한 리 다 이 렉 션 포 트 가 0 이 면 ( 기 본 값 임 ) 패 킷 의 도 착 지 포 트 가 리 다 이 렉 션 포 트 로 사 용 된 다 . 이 옵 션 은 입 력 방 화 벽 에 서 accept 정 책 사 용 시 에 만 유 효 하 며 리 눅 스 커 널 은 CONFIG_IP_TRANSPARENT_PROXY 을 정 의 하 고 컴 파 일 되 어 있 어 야 한 다 .
-t AND매 스 크 XOR매 스 크
IP 헤 더 의 TOS 필 드 를 변 경 하 기 위 해 사 용 하 는 매 스 크 이 다 . 방 화 벽 규 칙 에 의 해 패 킷 이 받 아 들 여 지 면 (매 스 커 레 이 드 에 상 관 없 이 ) TOS 필 드 는 우 선 첫 번 째 매 스 크 로 비 트 AND 된 후 두 번 째 매 스 코 로 XOR 된 다 . 매 스 크 는 16진 수 8 비 트 값 이 어 야 한 다 . 이 옵 션 은 추 가 , 삽 입 , 삭 제 명 령 하 고 만 사 용 되 며 통 계 분 석 규 칙 또 는 거 절 (reject), 거 부 (deny)하 는 방 화 벽 규 칙 에 서 는 어 떠 한 일 도 하 지 않 는 다 .
|
-v |
장 황 한 출 력 . 추 가 , 삭 제 , 점 검 될 규 칙 이 나 패 킷 에 대 한 상 세 정 보 를 출 력 한 다 . 이 옵 션 은 추 가 , 삽 입 , 삭 제 명 령 에 만 유 효 하 다 . | ||
|
-x |
숫 자 를 확 장 . K (1000) 또 는 M (1000K) 단 위 로 반 올 림 표 현 하 지 말 고 패 킷 과 바 이 트 카 운 터 의 수 치 를 정 확 하 게 표 시 한 다 . 이 옵 션 은 카 운 터 가 있 는 경 우 에 만 유 효 하 다 . ( -e 옵 션 을 참 고 ). | ||
|
-y |
SYN 비 트 가 설 정 되 어 있 고 ACK 비 트 가 없 는 TCP 패 킷 하 고 만 부 합 한 다 . (다 른 프 로 토 콜 에 대 해 서 는 무 시 된 다 ) 이 옵 션 은 추 가 , 삽 입 , 삭 제 명 령 과 사 용 한 다 . |
관 련 파 일
/proc/net/ip_acct
/proc/net/ip_input
/proc/net/ip_output
/proc/net/ip_forward
/proc/net/ip_masquerade
참 고 사 항
저 자
Jos Vos
<jos [AT] xos.nl>
네 덜 란 드 , 암 스
테 르 담 에 있 는 Open
Systems BV의 X/OS 전 문 가