<![CDATA[
<P>참고문헌 <A href="http://blog.pages.kr/tag/brctl-util">http://blog.pages.kr/tag/brctl-util</A></P>
<P>1.Bridge-util를 설치<BR>yum install bridge-utils.i386 -y</P>
<P><BR>2. brctl 옵션<BR>브릿지 유틸인 brctl을 설치한 후 brctl 을 실행하면 다음과 같이 사용할 수 있는 목록이 나오며 각각의 옵션은 아래와 같다.</P>
<P>[root@mento src]#brctl <BR>Usage: brctl [commands]<BR>commands:<BR> addbr <bridge> add bridge<BR> delbr <bridge> delete bridge<BR> addif <bridge> <device> add interface to bridge<BR> delif <bridge> <device> delete interface from bridge<BR> setageing <bridge> <time> set ageing time<BR> setbridgeprio <bridge> <prio> set bridge priority<BR> setfd <bridge> <time> set bridge forward delay<BR> sethello <bridge> <time> set hello time<BR> setmaxage <bridge> <time> set max message age<BR> setpathcost <bridge> <port> <cost> set path cost<BR> setportprio <bridge> <port> <prio> set port priority<BR> show show a list of bridges<BR> showmacs <bridge> show a list of mac addrs<BR> showstp <bridge> show bridge stp info<BR> stp <bridge> {on|off} turn stp on/off</P>
<P>- addbr : 브릿지를 추가(정의)한다.<BR>- delbr : 브릿지를 삭제한다.<BR>- addif : 해당 브릿지에 인터페이스를 추가(정의)한다.<BR>- delif : 브릿지에서 특정 인터페이스를 삭제한다.<BR>- setageing : 브릿지의 ageing time을 정의한다.<BR>- setbridgeprio : 브릿지의 우선도(priority)를 정의한다.<BR>- setfd : 브릿지의 forward delay를 정의한다.<BR>- sethello : hello time을 정의한다.<BR>- setmaxage : 최대 message age를 정의한다.<BR>- setpathcost : 경로의 cost를 정의한다.<BR>- setportprio : 해당 포트의 우선도(priority)를 정의한다.<BR>- show : 브릿지의 목록을 보여준다.<BR>- showmacs : 브릿지를 통과하는 시스템의 mac 주소를 보여준다.<BR>- showstp : 브릿지의 stp(spanning tree protocol) 정보를 보여준다.<BR>- stp : stp(spanning tree protocol)을 사용할 것인지 그렇지 않을 것인지를 정의한다.</P>
<P><BR>3.bridge init스크립트 등록<BR>cat /etc/rc.d/init.d/bridge<BR>#! /bin/bash<BR>#<BR># bridge Bring up/down bridge<BR>#<BR># chkconfig: 2345 9 91<BR># description: Activates/Deactivates all bridge interfaces configured to \<BR># start at boot time.<BR># probe: true<BR>### BEGIN INIT INFO<BR># Provides: $bridge<BR>### END INIT INFO</P>
<P># See how we were called.<BR>case "$1" in<BR> start)<BR> brctl addbr br0<BR> brctl stp br0 on<BR> brctl addif br0 eth0<BR> brctl addif br0 eth1<BR> /sbin/ifconfig eth0 down<BR> /sbin/ifconfig eth0 0.0.0.0 promisc up<BR> /sbin/ifconfig eth1 down<BR> /sbin/ifconfig eth1 0.0.0.0 promisc up<BR> /sbin/ifconfig br0 192.168.123.208 promisc up<BR> route add default gw 192.168.123.254<BR> ;;<BR> stop)<BR> brctl delif br0 eth1<BR> brctl delif br0 eth0<BR> brctl delbr br0<BR> ;;<BR> status)<BR> brctl showmacs br<BR> ;;<BR> restart|reload)<BR> cd $CWD<BR> $0 stop<BR> $0 start<BR> ;;<BR> *)<BR> echo $"Usage: $0 {start|stop|restart|reload|status}"<BR> exit 1<BR>esac</P>
<P>exit 0</P>
<P>3-1. brctl 설정설명<BR>[root@mento src]#brctl addbr br0<BR>=> br0 이라는 브릿지를 생성한다. 여기에서 br0 은 본인이 원하는 어떠한 이름으로 설정해도 된다.<BR>[root@mento src]#brctl stp br0 on<BR>=> 브릿지에서 stp 즉, spanning tree protocol을 on할 것인지 off할 것인지 정의하는 것이다.<BR>on으로 설정하면 네트워크 루핑을 방지할 수 있으므로 on으로 설정한다.<BR>[root@mento src]#brctl addif br0 eth0<BR>=> br0 브릿지 인터페이스에 eth0을 포함하도록 정의한다.<BR>[root@mento src]#brctl addif br0 eth1<BR>=> br0 브릿지 인터페이스에 eth1을 포함하도록 정의한다.<BR>[root@mento src]#ifconfig eth0 down<BR>=> 기존의 eth0이 설정되어 있을 수 있으므로 일단 eth0 인터페이스를 down 시킨다.<BR>[root@mento src]#ifconfig eth1 down<BR>=> 기존의 eth1이 설정되어 있을 수 있으므로 일단 eth1 인터페이스를 down 시킨다.<BR>[root@mento src]#ifconfig eth0 0.0.0.0 promisc up<BR>=> eth0의 IP를 0.0.0.0 으로 설정하여 초기화하고 promisc 모드로 작동하도록 설정한다.<BR>브릿지 모드로 사용하면 목적지 mac 주소에 관계없이 모든 패킷이 통과하도록 기본적으로<BR>promisc 모드로 작둉하지만, 만약 인터페이스가 promisc 모드로 작동하지 않으면 브릿지가 작동하지 <BR>않게된다.<BR>[root@mento src]#ifconfig eth1 0.0.0.0 promisc up<BR>=> eth1의 IP를 0.0.0.0 으로 설정하여 초기화하고 promisc 모드로 작동하도록 설정한다.<BR>[root@mento src]#ifconfig br0 192.168.123.208 promisc up<BR>=> br0 인터페이스의 IP를 192.168.123.208 로 설정한다. br0에는 아이피를 부여하지 않아도 상관이 없다. <BR>단, 브릿지 서버를 외부에서 원격으로 관리하거나 모니터링 등을 위해서 아이피를 부여해준다. <BR>IP가 할당된 br0 인터페이스는 eth0과 eth1을 묶은 가상의 인터페이스라고 생각하면 된다.</P>
<P>[root@mento src]#route add default gw 192.168.123.254<BR>=> default gateway를 라우팅 테이블에 정의한다. 단, 외부에서 접속하고자 한다면 설정해준다.<BR>위와 같이 설정한 후 ifconfig를 실행하면 다음과 같이 보일 것이다.<BR>[root@mento src]# ifconfig<BR>br0 Link encap:Ethernet HWaddr 00:02:B3:E9:83:7C <BR> inet addr:222.222.222.2 Bcast:10.255.255.255 Mask:255.0.0.0<BR> UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1<BR> RX packets:19850 errors:0 dropped:0 overruns:0 frame:0<BR> TX packets:66 errors:0 dropped:0 overruns:0 carrier:0<BR> collisions:0 txqueuelen:0 <BR> RX bytes:9488220 (9.0 MiB) TX bytes:9412 (9.1 KiB)</P>
<P>eth0 Link encap:Ethernet HWaddr 00:02:B3:E9:83:7D <BR> UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1<BR> RX packets:9971 errors:0 dropped:0 overruns:0 frame:0<BR> TX packets:14914 errors:0 dropped:0 overruns:0 carrier:0<BR> collisions:0 txqueuelen:1000 <BR> RX bytes:1762112 (1.6 MiB) TX bytes:8718643 (8.3 MiB)</P>
<P>eth1 Link encap:Ethernet HWaddr 00:02:B3:E9:83:7C <BR> UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1<BR> RX packets:11971 errors:0 dropped:0 overruns:0 frame:0<BR> TX packets:9443 errors:0 dropped:0 overruns:0 carrier:0<BR> collisions:0 txqueuelen:100 <BR> RX bytes:8484941 (8.0 MiB) TX bytes:1502293 (1.4 MiB)<BR> Base address:0xbc00 Memory:fc5e0000-fc600000 </P>
<P>lo Link encap:Local Loopback <BR> inet addr:127.0.0.1 Mask:255.0.0.0<BR> UP LOOPBACK RUNNING MTU:16436 Metric:1<BR> RX packets:3 errors:0 dropped:0 overruns:0 frame:0<BR> TX packets:3 errors:0 dropped:0 overruns:0 carrier:0<BR> collisions:0 txqueuelen:0 <BR> RX bytes:672 (672.0 b) TX bytes:672 (672.0 b)</P>
<P>만약 브릿지를 재설정하려면 먼저 해당 브릿지에 설정되어 있는 인터페이스를 삭제한 후 브릿지를 삭제하면 된다.<BR>주의할 점은 원격접속을 한 상태라면 네트워크가 끊어지게 된다.<BR>[root@mento src]#brctl delif br0 eth0<BR>[root@mento src]#brctl delif br0 eth1<BR>[root@mento src]#brctl delbr br0</P>
<P>4.Iptable설정 예제<BR>cat /etc/sysconfig/iptables</P>
<P># Generated by iptables-save v1.2.9 on Thu Dec 9 10:08:33 2004<BR>*filter<BR>:INPUT DROP [0:0]<BR>:FORWARD DROP [242:27601]<BR>:OUTPUT ACCEPT [4445:1628609]<BR>:IF - [0:0]</P>
<P>################################################################################<BR># Chain create<BR>################################################################################<BR>-A INPUT -j IF<BR>-A FORWARD -j IF</P>
<P><BR>################################################################################<BR># Public<BR>################################################################################<BR># 잘못된 패킷 차단<BR>#-A IF -m state --state INVALID -j DROP</P>
<P># 로컬호스트에서의 모든패킷허용<BR>-A IF -i lo -j ACCEPT</P>
<P># 서브넷에서의 내,외부로 모든패킷허용<BR>-A IF -s 내부IP대역/255.255.255.0 -j ACCEPT<BR>-A IF -s 역외부IP대/255.255.255.0 -j ACCEPT</P>
<P># 서브넷에서의 내,외부로 ping 허용<BR>-A IF -s 내부IP대역/255.255.255.0 -p icmp -m icmp --icmp-type 8 -j ACCEPT<BR>-A IF -s 외부IP대역/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT</P>
<P># 내부에서 외부로 나가는 tcp 모두허용<BR>-A IF -p tcp -m tcp --sport 20 -j ACCEPT<BR>-A IF -p tcp -m state --state ESTABLISHED -m tcp --sport 1:65535 --dport 1:65535 -j ACCEPT</P>
<P># 내부서브넷에서 외부로 나가는 udp 모두허용<BR>-A IF -p udp -m udp --sport 1:65535 -j ACCEPT</P>
<P>################################################################################<BR># Enbridge Network<BR>################################################################################<BR>-A IF -s 124.56.116.13 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 22 -j ACCEPT</P>
<P>################################################################################<BR># Firewall level<BR>################################################################################<BR># SSH<BR>-A IF -s 124.56.116.13 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 22 -j ACCEPT</P>
<P>################################################################################<BR># Desktop level<BR>################################################################################<BR># MSN<BR>-A IF -p tcp -d 내부IP대역/255.255.255.0 --dport 1863:1864 -j ACCEPT<BR>-A IF -p tcp -d 내부IP대역/255.255.255.0 --dport 6901 -j ACCEPT<BR>-A IF -p tcp -d 내부IP대역/255.255.255.0 --dport 7801:7825 -j ACCEPT<BR>-A IF -p tcp -d 내부IP대역/255.255.255.0 --dport 6891:6900 -j ACCEPT</P>
<P># edonkey<BR>-A IF -p tcp -d 내부IP대역/255.255.255.0 --dport 4662 -j ACCEPT</P>
<P><BR>################################################################################<BR># Server level<BR>################################################################################</P>
<P># SMTP/WWW/POP3<BR>-A IF -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 25 -j ACCEPT<BR>-A IF -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 80 -j ACCEPT<BR>-A IF -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 110 -j ACCEPT</P>
<P># DNS<BR>-A IF -d 211.212.213.214 -p udp -m udp --dport 53 -j ACCEPT<BR>-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 53 -j ACCEPT</P>
<P># SSH<BR>-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 22 -j ACCEPT</P>
<P># Samba<BR>-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 139 -j ACCEPT</P>
<P># 윈도우 네트워크 드라이브<BR>#-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 139 -j ACCEPT<BR>#-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 445 -j ACCEPT<BR>#-A IF -d 211.212.213.214 -p udp -m state --state NEW,ESTABLISHED -m udp --dport 137 -j ACCEPT<BR>#-A IF -d 211.212.213.214 -p udp -m state --state NEW,ESTABLISHED -m udp --dport 138 -j ACCEPT</P>
<P># FTP<BR>-A IF -d 211.212.213.214 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 20 -j ACCEPT<BR>-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 21 -j ACCEPT</P>
<P># ms-sql<BR>#-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 1433 -j ACCEPT<BR>#-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m udp --dport 1433 -j ACCEPT</P>
<P># oracle<BR>#-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 1522 -j ACCEPT</P>
<P># Terminal service<BR>-A IF -d 211.212.213.214 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 3389 -j ACCEPT</P>
<P><BR>################################################################################<BR># DROP<BR>################################################################################</P>
<P># 외부에서 내부로의 TCP 를 차단. 내부에서 외부로의 TCP 는 막지않음.<BR>-A IF -p tcp --syn -d 내부IP대역/255.255.255.0 -j DROP</P>
<P># ping 차단<BR>-A IF -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable</P>
<P>COMMIT<BR># Completed on Thu Dec 9 10:08:33 2004</P>
<P><BR> </P>
<!-- -->
]]>
첫댓글 iptable 와 비슷한 방법이네요 ~
내용 감사합니다.