밑에 내가 작성한(5번글)  SSH로 자동 로긴을 하면 ftp 사용 할 필요 없이
scp로 백업 할 수있다 cron에 등록하는거랑 mysql백업하는건 동일하니깐
참고 하면되고. scp사용법은

scp backup.tgz bigrock@remote.host:/DbBackup

이렇게하면 backup.tgz가 remote.host 의 /DbBackup 에 복사된다. 물론.
ftp보다 훨씬 안전하다 ^^;
                                                           by bigrock

====================================================================

서버2에서 서버1의 데이터를 FTP로 가져와 백업하기

작업내용 : 서버2에서 매일(/etc/cron.daily/autoftp) 서버1로 ftp접속을 하여(/home/sspark/.autoftp.sh, /home/sspark/.ftpscript) 백업할 데이터들을 가져온후에 서버2에 날짜형식을 가진 디렉토리를 생성하여 저장하고, 서버1의 원본데이터는 삭제한다.

서버1에서는 매일매일 백업일 하기위해 /etc/cron.daily/NICE-daily-backup에서 /sbin/NICEBACKUP파일을 실행시켜 이 파일에 있는 내용대로 매일매일 백업이 되고 있다.





서버1에서 매일 백업되는 내용

다음과 같이 서버1의 /sbin/NICEBACKUP에는 백업해야할 내용에관한 명령어들이 들어있다.

[root@kebia_1 /root]# cat /sbin/NICEBACKUP
#!/bin/bash
#APACHE Server BACKUP
tar cvfpz /home/sspark/BACKUP/usr_local_apache.tar.gz /usr/local/apache
#Mysql DB Full BACKUP
tar cvfpz /home/sspark/BACKUP/usr_local_mysql.tar.gz /usr/local/mysql
#Filesystem BACKUP
tar cvfpz /home/sspark/BACKUP/etc.tar.gz /etc
tar cvfpz /home/sspark/BACKUP/var.tar.gz /var
tar cvfpz /home/sspark/BACKUP/home.tar.gz /home
#Mysql file BACKUP
/usr/local/mysql/bin/mysqldump -uroot -p11111 mysql > /home/sspark/BACKUP/mysql.sql
/usr/local/mysql/bin/mysqldump -uroot -p11111 kebia > /home/sspark/BACKUP/kebia.sql
chown -R sspark:sspark /home/sspark/BACKUP



아래와 같이 서버1에는 위의 백업을 매일 하기위해 /etc/cron.dailly에 NICE-daily-backup이란 파일이 존재한다.

[root@kebia_1 /root]# cat /etc/cron.daily/NICE-daily-backup
echo "NICE KOREA BACKUP"
echo `date`
/sbin/NICEBACKUP
echo "BACKUP is completed"
[root@kebia_1 /root]#



서버1에는 매일 아래 디렉토리에 다음과 같이 백업이 되고 있다.

[root@kebia_1 BACKUP]# pwd
/home/sspark/BACKUP
[root@kebia_1 BACKUP]# ll
-rw-r--r--    1 sspark   sspark    1514583 Apr  1 04:04 115.co.kr.tar.gz
-rw-r--r--    1 sspark   sspark       9263 Apr  1 04:05 chapter.co.kr.tar.gz
-rw-r--r--    1 sspark   sspark   12996153 Apr  1 04:05 e-gain.co.kr.tar.gz
-rw-r--r--    1 sspark   sspark     556780 Apr  1 04:04 etc.tar.gz
-rw-r--r--    1 sspark   sspark    2007684 Apr  1 04:04 imt-2000.co.kr.tar.gz
-rw-r--r--    1 sspark   sspark   11236021 Apr  1 04:04 nicekorea.co.kr.tar.gz
-rw-r--r--    1 sspark   sspark      32128 Apr  1 04:04 owner.co.kr.tar.gz
-rw-r--r--    1 sspark   sspark    2150591 Apr  1 04:04 picasso.co.kr.tar.gz
-rw-r--r--    1 sspark   sspark    3624831 Apr  1 04:04 sajik.com.tar.gz
-rw-r--r--    1 sspark   sspark   94379928 Apr  1 04:04 usr_local.tar.gz
-rw-r--r--    1 sspark   sspark    4471105 Apr  1 04:04 var.tar.gz
[root@kebia_1 BACKUP]#





서버2에는 서버1의 데이터를 매일 가져오기위해 /etc/cron.daily에서 매일실행하는 스크립트 autoftp가 아래와 같이 있다.

[root@kebia_2 /root]#
[root@kebia_2 /root]# cat /etc/cron.daily/autoftp
#!/bin/bash
/home/sspark/.autoftp.sh
[root@kebia_2 /root]#



서버2에 만들어져야할 파일2개

  autoftp.sh : ftp실행파일

  ftpscript : ftp명령어들



[root@kebia_2 sspark]# cat autoftp.sh
#!/bin/bash
ftp -n 211.220.193.181 < ./ftpscript
export backupdir=`date '+%y-%m-%d.%H-%M'`
mkdir /home/sspark/BACKUP/$backupdir
mv /home/sspark/tmp/* /home/sspark/BACKUP/$backupdir
[root@kebia_2 sspark]#



[root@kebia_2 sspark]# cat ftpscript
user sspark 11111
cd /home/sspark/BACKUP
lcd /home/sspark/tmp
bin
prompt
mget *.tar.gz
mdelete *.tar.gz
bye
[root@kebia_2 sspark]#



서버1에는 cron.daily에 /sbin/NICEBACKUP등으로 매일 또는 매주 또는 매월백업을 자동으로 되고 있어야한다.
서버1의 /home/sspark/BACKUP/200104010303 형식으로 디렉토리를 생성하게되어 저장된다.
그런후에는 서버1의 데이터를 삭제한다.



작업완료후에 서버2에는 서버1의 내용이 백업되어 있다.



[root@kebia_2 01-04-01.05-45]# pwd
/home/sspark/BACKUP/01-04-01.05-45
[root@kebia_2 01-04-01.05-45]# ll
-rw-r--r--    1 root     root      1514583 Apr  1 05:36 115.co.kr.tar.gz
-rw-r--r--    1 root     root         9263 Apr  1 05:36 chapter.co.kr.tar.gz
-rw-r--r--    1 root     root     12996153 Apr  1 05:37 e-gain.co.kr.tar.gz
-rw-r--r--    1 root     root       556780 Apr  1 05:37 etc.tar.gz
-rw-r--r--    1 root     root      2007684 Apr  1 05:37 imt-2000.co.kr.tar.gz
-rw-r--r--    1 root     root     11236021 Apr  1 05:38 nicekorea.co.kr.tar.gz
-rw-r--r--    1 root     root        32128 Apr  1 05:38 owner.co.kr.tar.gz
-rw-r--r--    1 root     root      2150591 Apr  1 05:38 picasso.co.kr.tar.gz
-rw-r--r--    1 root     root      3624831 Apr  1 05:38 sajik.com.tar.gz
-rw-r--r--    1 root     root     94379928 Apr  1 05:45 usr_local.tar.gz
-rw-r--r--    1 root     root      4471105 Apr  1 05:45 var.tar.gz
[root@kebia_2 01-04-01.05-45]#



서버2에서 ftp접속 및 작업이 끝난후 서버1의 내용(즉, 원본파일은 지워지게 된다.)

[root@kebia_1 BACKUP]# pwd
/home/sspark/BACKUP
[root@kebia_1 BACKUP]# ll
[root@kebia_1 BACKUP]#

Posted by 큰바우
:
정말 유용하게 사용하고 있는것.. 쓸만하네요..
스크립트 좀 바꿔서 사용한다면 아마 최상일듯..

==================================================

위의 분이 사용한 방법도 있지만 다른 방법도 있습니다.
그냥 pop/smtp만 되고 telnet은 연결은 되지만 그 사용자가 자신계정의
비밀번호만 바꾸게도 할 수 있습니다..

아래는 way.co.kr의 임대호님이 작성한 문서입니다.
참조하시길 바랍니다...

=================================================================
보통 POP 계정을 발급할 경우 POP3 서비스 이외의 접속을 허용하지 않
습니다.
이는 POP 계정은 말 그대로 POP3 서비스만을 위해 발급하기 때문이겠
지요.


1. 발급
발급 기본명령은 다음과 같습니다.
# useradd 사용자ID -g 메일계정그룹 -M -s 기본쉘 -d /

예를들어 poptest 라는 POP 계정을 popusers 라는 그룹으로 묶어 발급
하고 TELNET과 FTP 접속을 제한하기 위해 별도로 만들어둔
쉘(pop-shell, 아래에서 설명)을 기본쉘로 지정하고자 할 경우 다음과
같이 명령합니다.
# useradd poptest -g popusers -M -s /usr/local/bin/pop-shell -d /


2. 접속제한(TELNET, FTP)과 암호변경
POP3 서비스 이외의 접속을 막기위해 다음과 같은 쉘스크립트를 만들어
접속을 막고, TELNET 접속이 허용되지 않아 스스로 변경이 불가능했던
암호를 스스로 변경할 수 있도록 하였습니다.

POP 계정 사용자용 기본쉘(/usr/local/bin/pop-shell)을 다음과 같이
하나 만듭니다.
그리고 실행권한을 부여한 후 앞서 설명한 방법으로 계정을 발급하고
TELNET, FTP 서비스를 접속해 봅니다.
문제없이 실행될 경우 TELNET 접속을 통해 암호를 변경할 수 있게되었을
것입니다.

#!/bin/sh
echo
echo " =============================================================="
echo " 현재 접속하신 ID는 TELNET, FTP 접속이 허용되지 않습니다."
echo " =============================================================="
echo " * POP 계정"
echo
echo -n " POP 계정의 암호변경을 원하십니까? [y/N] "
read QUESTION
if [ "X${QUESTION}" = "XY" -o "X${QUESTION}" = "Xy" ]
then passwd
fi







음.... 디렉토리 생성하지 않는 방법입니다..
아직 님께서 밑에 있는 쉘스크립트를 서버상에 올리신 후
# useradd poptest -g popusers -M -s /usr/local/bin/pop-shell -d /
이란 명령 주지 않으신 모양이군요..
우선 밑의 스크립트를 작성하신후 테스트 해 보시기 바랍니다.
만약에 top 이라는 메일계정을 bob 이라는 그룹계정에 묶어서
발급하신다고 하면 아래와 같이 적으시면 됩니다.
# useradd top -g bob -M -s /usr/local/bin/pop-shell -d /
라고 텔넷상에서 명령을 주면 /var/spool/mail 안에 bob 이라는
메일계정만 생긴답니다..
물론 top 이라는 계정은 텔넷으로 접속을 할 수 있지만
아래의 스크립트를 보시면 아시겠지만 자신만의 비밀번호를 바꿀 수 있는
권한만 주어집니다..
그럼....... 한번 해 보세여~~~~



: 답장 감사 합니다.
: 답변해주신 내용도 고려해 보았지만..
: xwindows에서 계정등록시 사용하는 메일전용 아이디등록법을 알고 싶군요~
: 홈디렉토리도 생성 않하고 단지 메일만 사용할수 있는 계정을...
: 이것은 useradd로 등록하는 방법을 알고 싶은것 입니다.
:
: 아무튼 답변 감사 합니다.
Posted by 큰바우
:
http.conf 에
ErrorDocument 404 /error.html
위의 설정을 추가하면 된다고 나와있는데... 되질 않습니다.
설정했는데. 안된다고 글올리신 분들이 몇분계신거 같은데.. 거기에 대한 답글이 없네요. 아시는분 답좀 꼭 올려주세요..
제가 사용하는 아파치 버전은
apache1.3.14 이구요. tomcat 와 연동해서 사용하고 있습니다.
------------------------------------------------------------

ErrorDocument 404 /error.html
에 절대결로를 적어주세요.

ex> ErrorDocument 404 http://www.apache.co.kr/error.html

위와 같이 하면 될겁니다.
저두 이렇게 사용하고 있으니까요.
그럼 즐거운 하루 되세요.
Posted by 큰바우
:
파일시스템 모두 복사하기
파일 시스템 전체나 디렉토리 트리 구조를 동일하게 복사하기 위해서는 다음의 명령어를 쓴다.

# mkdir /home/bc/destination
# cd /targetdir
# find . -depth -print | cpio -pmdvl home/bc/destination

이러면 /targetdir의 모든 것이 /home/bc/destination으로 복사된다.  

--------------(진철이 딴지 -_-; )
왜 절케 복잡하게 하는지 -_-;

cat /dev/hda > /dev/hdb 하면 -_-; 그대로 떠진다 흠. 다른가 내용이..
dd if=/dev/hda1 of=/dev/hda2 bs=1024 는 안되나? -_-a
또 한개
cp -a /dir /dest    (일케해도 링크까지 모든게 복사되는데 -_-; )
Posted by 큰바우
:
아파치에 기본적으로 들어 있는 기능인지만 많이들 모르고 계신거 같네요.
윈도우에서 사용할 수 있는 웹스트레스 툴과 비슷한 기능을 가지고 있습니다.

[root@www root]# /usr/local/apache/bin/ab -n 1 http://www.hanserver.net/
This is ApacheBench, Version 1.3d <$Revision: 1.65 $> apache-1.3
Copyright (c) 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright (c) 1998-2002 The Apache Software Foundation, http://www.apache.org/

Benchmarking www.hanserver.net (be patient).....done
Server Software:        Apache/1.3.26                                      
Server Hostname:        www.hanserver.net
Server Port:            80

Document Path:          /
Document Length:        12483 bytes

Concurrency Level:      1
Time taken for tests:   0.015 seconds
Complete requests:      1
Failed requests:        0
Broken pipe errors:     0
Total transferred:      12648 bytes
HTML transferred:       12483 bytes
Requests per second:    66.67 [#/sec] (mean)
Time per request:       15.00 [ms] (mean)
Time per request:       15.00 [ms] (mean, across all concurrent requests)
Transfer rate:          843.20 [Kbytes/sec] received
[root@www root]#  

Posted by 큰바우
:
http://www.rootcommand.net/study/iptables_masq_1.php


우선 이문서는 GPL을 따른다는것을 명시해둔다.

위의 문서에 이어 이번에는 Masquerading과 Foreward체인에 대해 다루고자 한다.
오타나 틀린 내용이 있으면 아래 메일로 연락을 주길 바란다.


작성일 2002.10.15

작성자 : 김창현   Email  





[Masquerading이란?]

IP 마스커레이드는 리눅스의 네트워킹 기능으로, 상용 방화벽(firewall)이나
네트웍 라우터(network router)에서 흔히 볼 수 있는 1 대 다(one-to-many) 방식의
NAT(Network Address Translation: 네트웍 주소 해석)와 유사하다.

쉽게 설명하자면 REAL IP 하나로 가상아이피를 가진 여러개의 컴퓨터,네트워크를 꾸밀수있다.

※ Masquerading는 본문에서 이하 MASQ라고 부르겠다.





[MASQ의 기본동작원리]

MASQ를 자세하게 설명하자면 아래와 같다.


INTERNET-------MASQ머신-----내부내트워크

인터넷과 내부네트워크 사이에 위치하여 주소를 변환하여 패킷을 통과시키는
역할을 하는것이 바로 MASQ머신이다.


이해를 쉽게 하기위해 하나의 상황을 꾸며보자.
내부네트워크에
일단 컴퓨터가 2대밖에 없다고 가정하고, 내부 네트워크주소는 192.168.1.0을
쓴다고 하며, MASQ머신의 실제 IP는 1.1.1.1이라고 하자.


그럼 모식도는 아래와 같을것이다.


INTERNET-------MASQ머신---------------- COM1 (192.168.1.2)
                            실제(1.1.1.1)              |
                            가상(192.168.1.1)        ------ COM2 (192.168.1.3)




MASQ머신에는 아미 마스커레이딩룰을 다 세팅한후이며
COM1,COM2역시 네트워크정보(IP와 게이트워이등)을 세팅한후다.
자세한 룰구축과 네트워크설정은 뒤에서 다룬다 다만 여기서는
먼저 MASQ의 기본개념과 상세한 동작원리를 설명하기 위해서 이렇게 한다.



이제 COM1이 웹브라우져로 어떤사이트에 접속을 한다고 하자.
COM1에서 전송을 주고받을 임이의 포트를 연다.그 포트가 10000번이라고 하자.
그리고 패킷에는 다음과 같은 정보가 들어간다


도착지:웹사이트IP 도착포트:80
출발지:192.168.1.2 출발포트:10000


그리고는 게이트워이인 192.168.1.1(MASQ머신)으로 보내어 진다.



자 이제부터 MASQ머신이 일을 할차례이다.

MASQ머신은 우선 192.168.1.2에서 보내온 패킷을 받고 살펴본다.

그리고 난후 MASQ머신의 임이의 포트(여기서 일반 임이의포트를 5000번이라고 하자)
를 192.168.1.2의 IP,10000포트에 대해 매칭한다.

※ 일반적인 포트개념과는 조금은 다르다. 그래서 통신이 될때
netstat -nat 해도 MASQ머신에서는 포트가 보이지 않는다.

그리고 패킷을 변조한다.


도착지:웹사이트IP 도착포트:80
출발지:1.1.1.1 출발포트:5000


위와 같이 변조하고 인터넷으로 보내어 버린다.

그러면 웹서버에서 응답이 온다.
어디로? 바로 1.1.1.1의 주소에 5000번 포트로.
왜? 바로 MASQ머신에서 출발지 주소를 변조해버렸기때문이다.

자.기다리던 응답이 왔다.

패킷을 보면


도착지:1.1.1.1 도착포트:5000
출발지:웹사이트IP 출발포트:80


분명 COM1이 접속하고자 한 웹사이트에서 응답이 왔는걸을 위에서 보면 알수있다.

자 이제 이 패킷을 받은 MASQ머신은 다시 COM1에게 이 패킷을 전달해주기 위해
또다시 변조작업을 해야한다.

아래와 같이 변조한다. 이미 위에서 5000번 포트를 192.168.1.2의 10000포트로
매칭을 하고 MASQ머신은 똑똑하게 그것을 기억하고 있다.
그러므로 아래와 같이 변조된다.


도착지:192.168.1.2 도착포트:10000
출발지 웹사이트IP 출발포트:80


이렇게 하고 변조된 패킷은 내부 네트워크로 보내어진다.

그다음 결과는 불보듯 뻔할것이다.

COM1은 이 패킷을 받게 될것이고.
마치 웹사이트와 직접연결되어 패킷을 주고 받은것처럼 이패킷을 처리할것이다.

그리고 COM1이 바라던대로 웹프라우져에 접속한 웹사이트가 뜰껏이다.

재미있지 않은가?



MASQ머신이 하는일은 위와같다.


자 다음장에는 직접 MASQ머신을 세팅해보자.








자 이제는 직접 MASQ머신을 꾸며 볼 차례이다.

우선 MASQ에 필요한 테이블은 아래와 같다.

FORWARD체인에 속해있는 PREROUTING과 POSTROUIING
테이블이 바로 우리가 룰을 세울 테이블이다.



한번 직접 보자

#iptables -t nat -L

위와 같이 치면 지금 룰이 텅텅비어있는 테이블을 보게될것이다.

iptables기본사용법 문서에서 다루었지만 위의 명령을 설명하면

-t(타겟지정옵션) nat(바로 패킷변조작업을 할 테이블)
-L 목록출력

※우선 FORWARD체인부터 설명해야겠지만 이 글을 읽고 있는 여러분은
MASQ에 더 관심이 있을줄 알고 POSTROUTING과 PREROUTING에 대해
먼저 설명을 한다.




POSTROUING? PREROUTING?

이름으로부터 벌써 추측을 할수 있을것이다.

POSTROUTING = 패킷을 변조후 보내는 룰을 세우는 테이블

PREROUTING = 패킷을 받아 변조시키는것인데 MASQ시에 포워딩부분에서 사용한다.
즉 앞에 문서에서 설명한 MASQ의 기능에서는 이 테이블이 쓰인적이없다.
나중에 포워딩부분에서 이 테이블을 다룰것이다.


우선 하나의 룰을 예로 들며 설명하겠다.

# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.1.1.1

위의 명령을 말로 풀어보자면
-t(타겟) nat(주소변환테이블 이곳에 POSTROUTING과 PREROUTING이 속해있음)
-A 룰추가
POSTROUTING 테이블에
-o eth0 ouput디바이스가 eth0 라면
-j SNAT 출발지 주소를 변환하라.( SNAT은 source NAT이라고 생각하면 된다.)

--to 1.1.1.1 IP가 1.1.1.1로
중요!:바로 이부분이 우리가 가진 MASQ머신의 실제IP를 적는 곳이다. 왜 이곳에 적는지는 SNAT으로 충분히 설명이 된다. 이곳에 적은 IP는 MASQ머신이 인터넷으로 보낼때 이곳 IP로 출발지를 변조해서 보낼것이다.

한문장으로 합치면 "nat테이블에 있는 POSTROUING테이블에 output디바이가 eth0이면
출발지 주소를 1.2.3.4로 변환하는 룰을 추가하라" 라는 말이된다.

※ --to 1.1.1.1 이외에 여라가지 방법으로 주소를 설정할수있다.
ex) --to 1.1.1.1-1.1.1.10 여러가지 변환이 필요할때.
위의 명령은 출발지 주소를 1.1.1.1부터 1.1.1.10까지 랜덤하게 바꾼다.
ex) --to 1.1.1.1:1-1024
위의 명령은 출발지 주소를 1.1.1.1로 하되 포트번호를 1번에서 1024번까지 해라는
명령이지만 잘 사용하지 않는다. 포트제한이 꼭 필요한경우라면 사용해야하겠지만
절대 권장하지 않는다.


위의 예제 룰 한줄이면 앞장에서 설명한 MASQ의 주소변조 작업을 수행할수있다.
하지만 더 세밀하게 할수도 있다.

우리가 iptables 기본사용법 문서에서 사용한 옵션의 일부를 여기서 사용할수있다.
아래와 같이.

-s, -d, -p, --dport를 옵션을 쓸수있다.(--dport는 SNAT에서 잘 쓰이지 않는다.)



이제 조금 더 세밀한 MASQ룰 을 세워보자

# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT \
--to 1.1.1.1


이번에는 -s옵션을 추가하였다. 물론 위쪽룰과 이 룰은 같은것이다.
다만 -s(출발지 옵션을 추가한것 뿐이다.)
그리고 -p옵션을 사용하지 않았는데 보통 이것은 사용하지 않는다.
왜냐면 우리는 통신에 tcp,udp 프로토콜을 같이 쓰기때문에
틀정 프로토콜을 정할수도 있겠지만 그렇게 하지 않는게 보통이다.

이정도면 충분히 MASQ머신을 만들수 있을것이다.





[포워딩]



자 이번에는 포워딩을 해보자
MASQ머신의 단점이 될수도 있고 장점이 될수있는 부분은은
내부에서 외부로밖에 접속을 할수없다는 것이다.
반대로 외부에서 내부는 접속이 전혀 되지 않는다.

외부에서 접속을 하려고 한다치자.

그러나 외부에서는 절대 내부를 볼수없다.
왜? 인터넷으로 나오는 패킷은 전부 MASQ머신이 보낸 패킷처럼
출발지 IP를 변조시켜 보내니까.
즉 외부에서 보기에는 MASQ만 보일뿐 어떤 내부컴퓨터도 볼수없다.

※ 이것이 장점이 될수있고 단점도 될수있는 부분이다.
내부로 연결은 밑에서 설명할 룰을 세워야만 가능하다.
즉 룰없이는 불가능하다. 즉 내부로 연결하자면 조금 번거로울수있다(?)
소리바다 및 구루구루, MSN파일전송을 위해 설정하는것도 이러한 이유다.
하지만 이것은 다른면에서 보면 자동으로 보안을 강화시킬수 있는 장점이
되기도 한다.



그러면 어떻게 masq를 거쳐 내부컴으로 연결을 할수있을까?


바로 앞에서 잠시 말한 PREROUTING테이블에 룰을 세우면 이것을 할수있다.

다음과 같은 명령을 보자.

# iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 \
-j DNAT --to 192.168.1.2:80

이번에는 PREROUTING과 DNAT(destination NAT 이라고 보면됨)이 쓰였다.

이것이 포워딩에 쓰이는것이다. 즉 도착지를 다른곳으로 변경시켜 주는것이다.

위의 룰을 설명하면

-A PREROUTING : PRETOURING 테이블에 룰을 추가해라.
-p tcp : tcp프로토콜이고
-d 1.1.1.1 : 도착지가 1.1.1.1이며
--dport 80 : 80번포트로 접속을 하면
-j DNAT 목적지를 변환시켜라

--to 192.168.1.2:80 : 192.168.1.2 의 80번 포트로

즉 tcp프로토콜이고 도착지가 1.1.1.1이고 도착포트가 80번(www)이면
그 패킷은 192.168.1.2의 80번포트로 보내라.

자 이러면 우리가 외부에서 1.1.1.1번의 80번 포트로 접속을 할수있는것이다.

외부에서 보기에는 1.1.1.1의 컴에서 (80번 포트이므로 웹서버라 하겠다.) 웹서비스를
하고 있는걸로 보이지만 사실은 1.1.1.1은 패킷을 다른곳으로 보내줄뿐이고
사실상 웹서비스를 하고 있는 컴퓨터는 내부의 192.168.1.2번 컴퓨터이다.

udp또한 -p옵션으로 설정을해 포워딩을 시킬수 있다.


이번에는 특정 주소로 오는것을 전부다 포워딩을 시켜보자.

# iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to 192.168.1.2

위의 명령은 프로토콜에 상관없이 도착지가 1.1.1.1이면
무조건 포워딩시켜버린다.




자 이제 실제 MASQ를 꾸미는 예를 보자.

우선 MASQ머신에 이더넷 카드 두장이상이 필요하다. 외부를 연결할 디바이스와
내부를 연결한 디바이스이다.
그리고 eth1과 eth0 의 네트워크 설정을 해주기 바란다.

일반적으로 eth1를 내부와 연결할경우 내부컴퓨터들의 게이트웨이는 eth1의 IP가 된다.

그런 다음 간단하게 다음과 같이 명령을 내리자.

패킷을 forwarding가능하게 하기위해
다음과같이 커널파라이터를 고친다. 부팅시 기본은 원래 0으로 되어있다.
다음과 같이 명령을 내리자.

# ehco 1 > /proc/sys/net/ipv4/ip_forward

그리고 난뒤 룰을 올리자.
eth0의 IP가 1.1.1.1이고 내부 네트워크가 192.168.1.0이라면

# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT \
--to 1.1.1.1

이 한줄이면 끝이다. 이 명령을 세우고 내부 컴에서 인터넷을 해보라.
잘 될것이다.

그리고 난 내부 컴에서 웹서버와 ftp서버를 돌리고 싶다.아래와 같이 하라.
내부 웹서버 IP가 192.168.1.2이고 포트는 80번이이면 밑과의 룰로 될것이다.

# iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 \
-j DNAT --to 192.168.1.2:80


그리고 ftp서버는 192.168.1.3번이고 21번 포트를 쓴다.
ftp서버가 active모드로 돌아간다면 data전송을 위해 20번포트를 쓰니까

# iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 21 \
-j DNAT --to 192.168.1.3:21

# iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 20 \
-j DNAT --to 192.168.1.3:20

위와 같이 내린다.
하지만 위는 예일뿐 실제 ftp는 MASQ하에 돌리지 않는다. 그이유는 속도측면에서의
손해와 passive모드(ftp 문서를 찾아보기 바란다)등이며 ftp는 절대적으로
NAT(즉, MASQ) 와 별로 친하지 않다. 따로 모듈을 올려줘야 한다.
그러한 이유등에서 ftp서버를 nat안에 두지 않는걸 적극 권장한다.


아! 그리고 중요한게 한가지 더 있다.
내부에서 ftp서버를 돌리든 돌리지 않든
내부 컴에서 ftp 클라이언트를 안정적으로 이용하려려면 MASQ머신에
ip_nat_ftp.o 이 모듈을 꼭 올려줘야만 한다.
ip_nat_ftp는 nat의 ftp접속추적모듈이다.


이로써 MASQUERADING부분이 끝났다. 이정도면 충분히 마스커레이딩을 할수있고
부족하다면 관련 문서를 찾아보며 조금만 공부를 하면 될것이다.



다음 장에서는 FORWARD체인에 룰을 세우는 것과 Mangle테이블을 살펴보도록 한다.






이번장에는 FORWARD체인과 Mangle테이블에 대해 다루어 보자




[FORWARD]


FORWARD체인은 nat을 포함하고 있다.

nat은 PREROUTING,POSTROUTING을 포함하고 있다.

즉 FORWARD체인이 가장 상위의 체인이다.

설사 nat의 PREROUTING이나 POSTROUTING에서 먼저
룰을 세웠더라도

FORWARD에 룰을 세우면 이것은 가장먼저 적용된다.


FORWARD체인의 룰셋은 INPUT과 OUTPUT과 동일하다.
하지만 틀린점이 있다면 -i,-o등 양쪽 인터페이스를
다 지정할수있다.

실제로 예를 들어보이겠다.

#iptables -A FORWARD -p tcp --dport 80 -i eth0 -o eth1 -j DROP

명령 풀이에 더이상 -p나 --dport등 이미 자주설명해왔던것들은 생략하겠다.

-i eth0 : eth0으로 들어오는
-o eth1 : 그리고 eth1로 나가는 패킷은
-j DROP : 버려라

이 룰이 일단 세워지면 아무리 PREROUTING에서 80번 포트 포워딩을 세웠더라도
우선 FORWARD룰이 먼저 적용되기때문에 적용패킷은 버려질것이다.

이것이 FORWARD의 내가 사용하는 전부이다.

물론 더 있겠지만 실제로 쓰고, 많이 언급되고 있는 전부라는 것이다.





[Mangle]


이번에는 Mangle테이블을 보자

Mangle테이블은 패킷필터링 룰을 세우는 곳이 아니다.

Mangle테이블은 성능향샹을 위한 TOS를 설정하는 것이다.
TOS를 알고 싶다면 tcp/ip관련 문서나 책에서 찾아보기 바란다.
매우 고급적이 내용이므로 확실하게 이해하지 않는경우 그대로 두기 바란다.
잘못 설정할 경우 네트워크에 심각한 상황을 초래할수도 있다.


그래도 한번 해보고 싶은 사람이 있다면 큰맘 먹고 해보면 된다.
사실 리부팅하면 모든 룰이 그러하듯이 다 없어진다 :)


TOS코드

이름                                CODE[HEXCODE]          설명
Minimize-Delay                16[0x10]                  최소지연
Maximize-Throughput        8[0x08]                최대 전송률
Maximize-Reliability            4[0x04]                최대 안정성
Minimize-Cost                     2[0x02]                최소 경로
Normal=service                  0[0x00]                일반서비스



telnet과 ssh는 최소 지연을 사용하고
ftp는 최대 전송률을 사용하게끔 세팅을 해보자



INPUT 체인
# iptables -t mangle -A INPUT -p tcp --dport 22 \
-j TOS --set-tox 0x10 // ssh

# iptables -t mangle -A INPUT -p tcp --dport 23 \
-j TOS --set-tox 0x10 // telnet

# iptables -t mangle -A INPUT -p tcp --dport 21 \
-j TOS --set-tox 0x10 // ftp 커맨드 전송포트

# iptables -t mangle -A INPUT -p tcp --dport 20 \
-j TOS --set-tox 0x08 // ftp-data전송포트

OUTPUT 체인
# iptables -t mangle -A OUTPUT -p tcp --dport 22 \
-j TOS --set-tox 0x10 // ssh

# iptables -t mangle -A OUTPUT -p tcp --dport 23 \
-j TOS --set-tox 0x10 // telnet

# iptables -t mangle -A OUTPUT -p tcp --dport 21 \
-j TOS --set-tox 0x10 // ftp 커맨드 전송포트

# iptables -t mangle -A OUTPUT -p tcp --dport 20 \
-j TOS --set-tox 0x08 // ftp-data전송포트



위에 설정한 그대로다 이제 일일이 설명하지 않아도 iptables 기본사용법과
이문서를 차근차근 본 문서라면, 또 이까지 별문제 없이 온사용자라면
위 문장만 봐도 충분히 이해가 가리라 믿는다.




나의 iptables에 대한 문서는 여기까지 이다.
이정도 설명이면 iptables에 대해서 정말 충분하게 설명한거라
생각한다.

하지만 iptables의 기능은 참으로 대단하다.
여러 확장기능이 그러하다.
확장기능을 공부하다 보면 실제로 상상도 못한 기능들이
많이 숨어 있을것이다.


마지막으로 이 글을 읽는 여러분께 부탁이 있다면
이문서에 부족한 부분을 지적해주셨으면 한다.
그러면 다음에 그 글을 읽는 사람은 더욱많은것을
얻어갈수있을것이다.


이 문서가 부디 많은 iptables 초보자께 유용한 문서가
되길 바라는 마음으로 이문의 끝을 맺는다.
Posted by 큰바우
:

원문 : http://www.linuxgazette.com/issue67/nazario2.html
번역한건 아니고 요약(?) + 나 필요한대로 개조 했음
-------------------------------------------------------

SSH 사용법

테스트환경
local computer
OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f
remote computer
OpenSSH_3.1p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f

1. local에서 해야될 작업

$ ssh-keygen -t rsa (or dsa)
Generating public/private dsa key pair.
Enter file in which to save the key (home/bigrock/.ssh/id_rsa): [enter]
Enter passphrase (empty for no passphrase):    ---- (1)
Enter same passphrase again:    ---- (1)
Your identification has been saved in /home/bigrock/.ssh/id_rsa.
Your public key has been saved in /home/bigrock/.ssh/id_rsa.pub.
The key fingerprint is:
16:04:40:91:ae:09:d2:a2:a6:08:2e:6a:dd:49:aa bigrock@bigrock.pe.kr

$ scp id_rsa.pub bigrock@uandme.co.kr:~/.ssh/bigrock_pub
bigrock@uandme.co.kr's password:
id_rsa.pub   100% |******************************************| 605 00:00

$ eval `ssh-agent`
Agent pid 6040
$ ssh-add
Identity added: /home/bigrock/.ssh/id_rsa (/home/bigrock/.ssh/id_rsa)

2. remoter에서 해야될 작업

$ cd $HOME/.ssh
$ cat bigrock_pub >> authorized_keys


3. 접속 local -> remote

$ ssh bigrock@uandme.co.kr
[Enter passphrase for key '/home/bigrock/.ssh/id_rsa':]    ----(2)
Last Login: Web Oct 9 13:40:26 2002 from 111.222.333.222
$


*
(1) 에서 암호를 입력하면 key를 사용할 때마다
     암호를 입력해야한다. 자신 말고 이 키를 사용 못하게 하려면
     암호를 걸도록한다.
(2) (1)과정 뒤에, ssh-agent에 key를 등록하고 remote에 접속을 하게되면
     key에 대한 암호를 물어보게된다.
     key 인증이 실패하면 remote의 계정에 대한 암호를 물어본다.
     -> (1)에서 암호를 Enter로 치고 넘어가면 (2)는 거치지 않고 그냥 login한다.
**
remote에는 authorized_keys에 다른 host의 여러개의 key를 등록할 수 있다.
>> 로 추가로 계속 등록을 하면된다.
***
key쌍을 이용해서 접속하는것과 그냥 ssh를 사용해서 접속하는 것과의 차이점은..
그냥 ssh를 접속해서 사용하는건 같지만 접속하는 순간의 password가
plain text로 전송되는가 암호화되서 전송되는가의 차이점이다.
물론 key쌍을 이용해서 접속하는것이 암호화되서 전송이된다.

                                                                   by bigrock

 

 

 

 

 

http://mah.everybody.org/docs/ssh 여기도 참고

 

#!/etc/openssh/sshusers
################################################################################
# SSH Login 설정 파일
################################################################################
#
# 이 파일은 ssh login 을 허락할 유저들의 명단을 작성한다. 이 파일을 사용하기
# 위해서는 /etc/pam.d/opensshd 의 2 번째와 3 번째 라인인
#
# #auth required /lib/security/pam_listfile.so item=user sense=deny \
# # file=/etc/openssh/sshusers onerr=succeed
#
# 와 같이 되어 있는 라인의 주석을 풀어줘야 한다. 이 파일의 기술은 login을 허
# 락할 유저를 한줄에 하나씩 나열하면 된다.
#
#
################################################################################
# 참고: root 유저의 로그인을 위해서는 이곳에서 등록함은 물론 sshd_config 에서
# 도 PermitRootLogin 의 값이 yes 로 되어 있어야 한다.
################################################################################

(openssh-3.5p1-1)

Posted by 큰바우
:

첨부파일 참조

http://www.rootcommand.net/

Posted by 큰바우
: