Linux2008/09/18 14:21

yum 사용하기

yum은 콘솔에서 사용할 수 있는 리눅스 패키지 자동 업데이트 툴입니다.
이걸 이용하면 간편하게 패키지 업데이트들을 할수가 있죠.
단.. 컴파일 해서 설치한 경우는 제외입니다. ;ㅁ;

저도 이전에는 기본패키지만 설치하고 필요한 것들만 하나씩 컴파일 해서 사용했었는데 유지/보수를 생각한다면 yum을 이용한 패키지 관리를 추천합니다.

먼저 yum의 헬프 메시지를 볼까요.

>> yum 헬프메시지 보기 << 클릭


꽤 많네요... 그런데 옵션은 몇몇을 제외하고는 많이 쓰지는 않습니다. 명령어가 포인트이죠!!
yum에는 이외에도 설정파일 및 저장소에 대한 정보 등등 다양한 기능+셋팅이 있겠지만 여기서는 일반유저들(저를 포함한)을 위한 기본적인 사용법에 대해서만 체크하도록 하겠습니다.
사실 이 블로그에 있는 문서들은 나~중에 제가 참고하기 위해 작성하는 면도 없지않아 있습니다.

● 최신 업데이트 목록의 확인

# yum check-update

iwl4965-firmware.noarch                  228.57.2.21-1.1        updates-newkey
nss_compat_ossl.i386                     0.9.3-1.fc8            updates-newkey
selinux-policy.noarch                    3.0.8-115.fc8          updates-newkey
selinux-policy-targeted.noarch           3.0.8-115.fc8          updates-newkey
tomcat5-jsp-2.0-api.i386                 5.5.27-0jpp.2.fc8      updates-newkey
tomcat5-servlet-2.4-api.i386             5.5.27-0jpp.2.fc8      updates-newkey

"check-update" 커맨드를 이용하면 현재 시스템에 설치되어 있는 패키지들 중에서 업데이트 가능한 목록들을 쭈욱 보여줍니다. 보니 selinux와 tomcat도 업데이트가 되었네요. 자 그럼 위 패키지들을 실제로 설치를 해보겠습니다. 설치할때에는 하나씩 패키지를 지정해서 설치할 수도 있고 한꺼번에 모든 업데이트를 설치할 수도 있습니다.

● 패키지의 업데이트
업데이트된 패키지 중 일부만 지정해서 설치하는 경우
# yum [-y] update [패키지명1] [패키지명2] ....

업데이트 된 패키지들을 모두 설치 하는 경우
# yum [-y] update

이때 중간에 계속 진행할 것인지 물어보는 프롬프트가 뜨는데 프롬프트를 없애려면 "-y" 를 옵션을 하면 모든 프롬프트에 자동으로 "yes"를 입력해 줍니다.

● 패키지의 검색 및 인스톨
현재 시스템에 설치되어 있지 않은 패키지를 인스톨 하기 위해 먼저 아래와 같이 패키지를 검색합니다.
아래 명령은 검색어가 포함되어 있는 모든 패키지를 보여줍니다.

# yum search mc

그런데 search 커맨드는 검색어가 포함되어 있는 패키지는 모두 보여주기 때문에 위 명령어처럼 mc(midnight commander)를 검색하면 tomcat 도 같이 출력됩니다. 그러므로 가능하다면 패키지명을 확인한 뒤 list 명령어를 사용하는 편이 깔끔합니다.

# yum list mc
Available Packages
mc.i386                                  1:4.6.1a-50.20070604cv updates-newkey

Available 패키지로 표시되네요. 인스톨 하기전에 조금 더 자세한 정보를 보고 싶으시면 info 커맨드를 사용합니다.

# yum info mc.i386

text console file manager and visual shell이라고 설명이 나오네요. 윈도우즈에서 사용하는 Total Commander와 같다고 보시면 됩니다. ^^ 꽤 편리하니 강추입니다. 자 그럼 이제 패키지를 인스톨 하기 전에 혹시라도 이미 시스템에 설치되어 있는지 확인해 보겠습니다.

# yum list installed mc
Error: No matching Packages to list

없네요! 그럼 이 편리한 툴을 설치하겠습니다.

# yum [-y] install mc.i386

.... 끝입니다. ;ㅁ; 간단하죠 ? 사실은 설치할때에도 여러가지 옵션을 이용하여 설치 디렉토리를 변경 하거나 하는것도 가능하지만 나중에 유지보수를 생각한다면 디폴트로 설치하는게 가장 편합니다.
그럼 이제부터 확인작업입니다.

# yum list installed mc
Installed Packages
mc.i386                                  1:4.6.1a-50.20070604cv installed
# yum list mc
Installed Packages
mc.i386                                  1:4.6.1a-50.20070604cv installed

● 패키지의 삭제
패키지를 설치했다면 삭제할 일도 있겠죠. 삭제 할때에는 의존성 때문에 주의가 필요합니다. "--force" 옵션을 이용하면 의존성 무시하고 강제로 삭제할 수도 있지만 언제 어디서 에러가 발생할지 모릅니다. 하도 이리저리 엮여 있어서요.. 그러니 의존성 에러가 발생한다면 왠~만하면 그냥 놔두시라고 권해드립니다.

# yum remove [패키지명]


● 파일의 해당 패키지 확인
가끔가다 보면 이 파일이 도대체 어느 패키지에 속해있는 것인지 확인해야 할 때가 있습니다. 그럴때 provides 커맨드를 사용하실 수 있습니다.

# yum provides libdb-4.6.so
db4-4.6.21-2.fc8.i386 : The Berkeley DB database library (version 4) for C
Matched from:
Other       : libdb-4.6.so

db4-4.6.21-1.fc8.i386 : The Berkeley DB database library (version 4) for C
Matched from:
Other       : libdb-4.6.so

db4-4.6.21-2.fc8.i386 : The Berkeley DB database library (version 4) for C
Matched from:
Other       : Provides-match: libdb-4.6.so

위 명령어를 입력하면 "libdb-4.6.so" 파일이 어느 패키지에 해당되는지 알려줍니다. 저 파일은 "db4-4.6.21-2.fc.i386" 패키지에 포함되어 있는 파일이군요! 그럼 info 커맨드로 더 자세한 정보를 알아보는 것도 가능하리라 생각됩니다. 또한 *도 사용할 수 있네요.

# yum provides /usr/sbin/vg*


와 같이 이용하는 것도 가능합니다.

다음에는 yum의 conf파일이나 환경설정에 대해서 조금 더 알아보는 포스트를 작성해보도록 하겠습니다.
요기까지...

크리에이티브 커먼즈 라이선스
Creative Commons License

'Linux' 카테고리의 다른 글

1년 365일 꽃말 자료  (0) 2009/03/10
hddtemp와 mrtg를 이용한 하드디스크 온도 체크  (0) 2008/09/27
yum 사용하기  (0) 2008/09/18
BIND 메시지 "RFC 1918 response from Internet for xxx.x.168.192.in-addr.arpa"  (1) 2008/09/18
BIND 메시지 "the working directory is not writable"  (0) 2008/09/18
VBS로 작성한 Windows 이벤트로그 백업 스크립트  (0) 2008/08/04
Posted by Onedayth
TAG fedora, Linux, yum, 일본>도쿄>아키하바라
Trackback 0 Comment 0

TRACKBACK http://linuxwin.com/trackback/36 관련글 쓰기

댓글을 달아 주세요

Linux2008/09/18 14:15

BIND 메시지 "RFC 1918 response from Internet for xxx.x.168.192.in-addr.arpa"

BIND의 또다른 메시지입니다.
역시 /var/log/messages에 기록된 내용이며 내부 네트워크에 물려있는 IP들에 대해서 동일한 메시지가 계속되어 출력되고 있네요.

이 문제는 구글에서 검색한 결과 바로 답이 튀어나오네요.
아래의 FAQ페이지에서 확인 하실 수 있습니다.

http://www.isc.org/index.pl?/sw/bind/FAQ.php

해결방법은 해당 네트워크 세그먼트에 대해서 파일설정을 empty로 설정하라고 하네요.
친절하게도 empty파일의 작성방법도 나와있긴 한데 /var/named/chroot/var/named 디렉토리를 보시면 named.empty라는 파일이 이미 존재하므로 다음과 같이 설정하도록 하겠습니다.

만약 서버의 내부 네트워크가 172.16.1.0/24 이고 이 세그먼트에 대해서 위의 메시지가 계속해서 발생한다면 named.conf에 아래와 같은 내용을 추가하시면 됩니다. 참 배포판에 따라서 named.conf에 적을 수도 있고 아니면 named.conf내에서 불러들이는 파일(Fedora8에서는 /etc/named.rfc1912.zone 파일)에 적어주시면 됩니다.

zone "1.16.172.in-addr.arpa" IN {
        type master;
        file "named.empty";
        allow-update { none; };
};

172.16.0.0/16 이라면 zone "16.172.in-addr.arpa" IN 이 되겠죠 ?
그리고 named를 아래와 같이 재시작해주세요~

/etc/init.d/named restart


크리에이티브 커먼즈 라이선스
Creative Commons License

'Linux' 카테고리의 다른 글

hddtemp와 mrtg를 이용한 하드디스크 온도 체크  (0) 2008/09/27
yum 사용하기  (0) 2008/09/18
BIND 메시지 "RFC 1918 response from Internet for xxx.x.168.192.in-addr.arpa"  (1) 2008/09/18
BIND 메시지 "the working directory is not writable"  (0) 2008/09/18
VBS로 작성한 Windows 이벤트로그 백업 스크립트  (0) 2008/08/04
sshd 설정  (1) 2008/03/20
Posted by Onedayth
TAG BIND, Linux, named, 일본>도쿄>아키하바라
Trackback 0 Comment 1

TRACKBACK http://linuxwin.com/trackback/35 관련글 쓰기

댓글을 달아 주세요

  1. 조아

    퍼갈께요. 감사합니다~

    2010/05/19 09:19 [ ADDR : EDIT/ DEL : REPLY ]

Linux2008/03/20 10:04

sshd 설정

리눅스를 설치하고 원격에서 접속할 수 있도록 설정을 해주어야 편하게 여러가지 작업을 할 수 있습니다.
바로앞에 콘솔이 있다고 하더라도 해상도 문제도 있고 문자코드셋 때문에라도 터미널 설정을 하는게 좋죠.

기본적으로 telnet이 있고 암호화 통신을 가능하게 해주는 sshd를 가장 많이 씁니다.
이에 대해 자세한 것은 인터넷을 검색해 보시면 더욱 자세한 정보가 있을테니 참고하셔요.

여기서는 sshd를 사용하기 위해 필요한 최소한의 설정에 대해서만 다룹니다.
역시나 기본은 fedora 8에 rpm으로 설치된 버전을 예로 들겠습니다.

fedora에서 ssh 관련 패키지 설정파일들은 "/etc/ssh"에 들어있습니다. 디렉토리 안에는 여러 파일들이 있지만 sshd에 관한 설정은 "sshd_config" 파일을 건드리는 것만으로 충분합니다.

# cd /etc/ssh
# ll
합계 204
-rw------- 1 root root 132839 2007-11-21 04:40 moduli
-rw-r--r-- 1 root root   1955 2007-11-21 04:40 ssh_config
-rw------- 1 root root    672 2008-02-03 22:04 ssh_host_dsa_key
-rw-r--r-- 1 root root    590 2008-02-03 22:04 ssh_host_dsa_key.pub
-rw------- 1 root root    963 2008-02-03 22:04 ssh_host_key
-rw-r--r-- 1 root root    627 2008-02-03 22:04 ssh_host_key.pub
-rw------- 1 root root   1671 2008-02-03 22:04 ssh_host_rsa_key
-rw-r--r-- 1 root root    382 2008-02-03 22:04 ssh_host_rsa_key.pub
-rw------- 1 root root   3643 2008-03-20 09:31 sshd_config
-rw------- 1 root root   3643 2008-03-20 09:31 sshd_config.20080320

ssh_config 파일은 ssh 데몬이 아닌 클라이언트에 대한 설정파일이니 건드릴 필요없고 sshd_config만 수정하면 됩니다. 그리고 항상 위와 같이 설정을 변경하실 때에는 꼭! 백업하는거 잊지 마시구요.

sshd_config파일을 열어보면 많은 항목들이 있지만 몇가지만 수정하면 운영하는데에 특별한 문제는 없습니다. 여기서는 기본적인 설정 몇가지와 포트를 변경하도록 하겠습니다.
포트변경은 인터넷상의 수없이 많은 스크립트 키드들로부터 자신의 리눅스 박스를 지키기 위해 꼭 필요하다고 생각합니다. 실제로 포트 변경하는 것만으로 현재 저의 리눅스 박스에는 ssh접근 기록은 한번도 없었습니다.

OpenBSD sshd_config, v1.75 파일을 기준으로 행수를 기록하였으니 참고하시길 바랍니다.

13:Port 8888
14:AddressFamily inet
15:ListenAddress 192.168.1.1

36:SyslogFacility AUTHPRIV
37:LogLevel DEBUG

42:PermitRootLogin no

위의 설정을 변경하는 것만으로도 일반적인 운영에는 충분합니다. 자 하나씩 살펴볼까요.

13:Port 8888
네, 바로 알 수 있죠 ? Listen 포트를 변경하는 옵션입니다. 기본적으로 22번 포트가 되어 있는데 원하는 포트로 변경하는 것이 정신건강에 좋습니다. 포트를 변경하시면 /etc/services 파일과 방화벽에서 관련 포트 설정 해주시는거 잊으시면 안됩니다.

14:AddressFamily inet
ipv4, ipv6에 대한 옵션입니다. 기본으로 주석처리가 되어 있는데 그렇다면 지정포트에 대해 ipv4, ipv6 두 프로토콜이 Bind하려고 해서 로그에 Bind에러가 기록됩니다. 먼저 ipv4를 bind하고 ipv6가 에러가 나는 거라서 ipv6를 운영하지 않는다면 큰 문제는 없지만 무언가 찜찜하시다면 inet으로 설정해주세요. ipv4에 대해서만 bind합니다.

15:ListenAddress 192.168.1.1
Listen할 아이피를 지정합니다. 서버에 여러개의 NIC와 IP가 존재한다면 어느 NIC에서 Listen할 것인지 결정하는 옵션이죠.  NIC가 하나뿐이라면 신경안쓰셔도 됩니다.

36:SyslogFacility AUTHPRIV
37:LogLevel INFO
로그에 대한 옵션입니다. 기본적으로 syslog에 sshd의 로그를 기록하는데 그에 대한 퍼실리티를 지정해주는 옵션입니다. /etc/syslogd.conf(또는 /etc/rsyslogd.conf) 파일에 authpriv 퍼실리티에 대한 옵션이 제대로 지정되어 있는지 확인해 주세요. 전 그냥 기본값을 사용하고 있기 때문에 /var/log/secure 에 로그를 기록하게 되어 있습니다. 로그 레벨은 INFO를 지정하는 것만으로도 바인드 에러, 접속기록, 접속시도 등 필요한 정보는 모두 기록되니 INFO로 충분하다고 생각합니다.

42:PermitRootLogin no
ssh로 접속할 시 root로 로그인 하지 못하게 하는 옵션입니다. 원격에서 root로 로그인이라... 무섭죠 ? -_-; root라는 아이디는 변경할 수 없는 것이기에 이 옵션을 yes로 해놨을 경우 root에 대해 패스워드를 무한 입력하는 방식으로 언젠가는 뚫릴 수 있습니다. no로 하고 임의의 계정으로 접속한 후 su를 이용하시는게 제일 좋을 듯 하네요.

위 설정이 끝났다면 아래와 같이 sshd데몬을 재시작 합니다.

# /etc/init.d/sshd restart

그리고 지정한 아이피, 지정한 포트로 ssh접속을 시도해서 제대로 연결이 되는지 확인해주세요~

참고 :
방화벽을 이용하시는 분의 경우 포트를 열고 닫을때 조심하셔야 합니다. 작업 순서가 잘못되면 앗.. 하는 순간 연결이 끊겨버립니다. ( --> 두번이나 그런짓을 해버렸어요.. ㅠ.ㅠ)

 

크리에이티브 커먼즈 라이선스
Creative Commons License

'Linux' 카테고리의 다른 글

BIND 메시지 "RFC 1918 response from Internet for xxx.x.168.192.in-addr.arpa"  (1) 2008/09/18
BIND 메시지 "the working directory is not writable"  (0) 2008/09/18
VBS로 작성한 Windows 이벤트로그 백업 스크립트  (0) 2008/08/04
sshd 설정  (1) 2008/03/20
Linux용 방화벽(Firewall) iptables 사용하기  (4) 2008/03/13
yum 으로 pam업데이트 후 cron에서 에러 발생시의 대처  (1) 2008/02/24
Posted by Onedayth
TAG Linux, sshd 기본 설정, 일본>치바
Trackback 0 Comment 1

TRACKBACK http://linuxwin.com/trackback/24 관련글 쓰기

댓글을 달아 주세요

  1. BlogIcon karazhan

    감사합니다 ㅋㅋ
    루트로 계속 들어오는 녀석들은 이제 안녕이군요!
    집에 도착하면 SSH데몬 띄우겠습니답ㅋ

    2008/03/20 11:19 [ ADDR : EDIT/ DEL : REPLY ]

Linux2008/03/13 12:36

Linux용 방화벽(Firewall) iptables 사용하기

Linux용 방화벽인 iptables에 대해서 문서를 작성해 볼 예정입니다.
인터넷상에 관련 문서는 많이 있지만 체계적으로 정리된 문서가 적고..
제가 이해력이 떨어져서 그런지 활용하기가 좀 어렵더군요.

지금 현재 누군가가 서버에 ftp로 로그인하려고 하는 움직임이 있어서
iptables를 이용해 차단하려고 합니다. +_+

246-colo-bdg1.telkom.net.id

넌 도대체 머하는 놈이냐!! 어제 저녁 7시부터 줄기차게 스크립트 돌리고 있네요. -_-;

리눅스 상에서 iptables를 이용하려면 당연한 이야기이지만 iptables 관련 패키지가 설치되어 있어야 합니다.

# yum list iptables
iptables.i386                            1.3.8-6.fc8            installed

yum으로 확인해본 결과 위 패키지가 설치되어 있네요. +_+

이제 매뉴얼 페이지를 잠깐 보겠습니다.

SYNOPSIS
       iptables [-t table] -[AD] chain rule-specification [options]
       iptables [-t table] -I chain [rulenum] rule-specification [options]
       iptables [-t table] -R chain rulenum rule-specification [options]
       iptables [-t table] -D chain rulenum [options]
       iptables [-t table] -[LFZ] [chain] [options]
       iptables [-t table] -N chain
       iptables [-t table] -X [chain]
       iptables [-t table] -P chain target [options]
       iptables [-t table] -E old-chain-name new-chain-name


포인트는 저거네요........ []로 되어 있는 부분은 생략 가능한 부분이라는거 아시죠 ? 훗;


먼저 Command에 대해서 쭈욱 살펴보겠습니다.

-A, --append chain rule-specification 지정체인에 새로운 룰을 추가
-D, --delete chain rule-specification 지정체인에서 일치하는 첫번째 룰을 삭제
-D, --delete chain rulenum 지정체인에서 특정 룰을 삭제
-I, --insert chain [rulenum] rule-specification 지정체인에 [지정위치에] 새로운 룰을 삽입
-R, --replace chain rulenum rule-specification 지정체인의 [지정위치에] 룰을 교환
-L, --list [chain] 지정체인의 룰 목록을 출력
-F, --flush [chain] 지정체인을 초기화
-Z, --zero [chain] 지정체인의 패킷과 바이트 카운트를 0으로 설정(머지 ?? -0-)
-N, --new-chain chain 새로운 체인 만들기
-X, --delete-chain [chain] 체인 삭제
-P, --policy chain target 지정체인의 정책변경
-E, --rename-chain old-chain new-chain 체인의 이름변경
-h     Help.  도움말 출력

그리고 위 명령어들과 같이 많이 쓰는 옵션들은 아래와 같습니다.
--proto [!]           -p  프로토콜타입을 지정합니다(tcp/udp/icmp/all)
--source [!]         -s  소스 어드레스를 지정합니다(address[/mask])
--destination [!]   -d   타겟 어드레스를 지정합니다(address[/mask])
--in-interface       -i  네트워크 인터페이스를 지정합니다.
--jump                -j  타겟에 대한 룰을 지정합니다(accept/reject/drop)
--numeric            -n  이 옵션을 지정하면 포트번호나 프로토콜 타입들이 숫자로 표시됩니다.
                           (이걸 지정하지 않으면 80번 포트는 http로, 25번 포트는 smtp처럼 표시됩니다)

--source-port         --sport  소스 포트를 지정합니다.
--destination-port    --dport  타겟 포트를 지정합니다.

옵션들은 이외에도 여러가지가 있지만 저도 파악하지 못한 것이 많고 위의 옵션만으로도 일반 운영은 충분히 가능하기에 그냥 빼버렸습니다. -_-;

페도라를 기준으로 해서 다음의 명령으로 현재 iptables의 상태를 파악할 수 있습니다.
# /etc/init.d/iptables status
테이블: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

현재 3개의 기본 체인(이 3개의 체인은 삭제하거나 변경할 수 없습니다)이 있고 아무런 룰도 등록되어 있지 않네요. 자 그럼 기본서비스를 등록해보도록 하겠습니다. 저는 현재 웹서버와 메일 수신서버 그리고 ftp를 공개하고 있으니 이것들을 등록해보도록 할게요.
# iptables -A INPUT -p TCP --dport 80 -j ACCEPT (http 허가)
# iptables -A INPUT -p TCP --dport 443 -j ACCEPT (https 허가)
# iptables -A INPUT -p TCP --dport 25 -j ACCEPT (smtp 허가)
# iptables -A INPUT -p TCP --dport 20:21 -j ACCEPT (ftp, ftp-data 허가)

자 등록이 끝났습니다. 그런데 무언가 허전하지 않나요 ? 네, 맞습니다. 위 서비스 외에는 모든 접속을 불허하는 룰이 있어야겠지요. 일부 상용 제품에선 각 체인(용어는 틀리겠지만요)의 마지막에 "모든 접속 불허"라는 룰이 보이진 않지만 자동으로 지정되기도 하는데 iptables에는 그런게 없는듯 하네요.

# iptables -A INPUT -p TCP --dport 1:30000 -j DROP

이것으로 일단 기본 등록은 끝났습니다. 위에서 포트를 1:30000으로 지정하면 1번부터 30000번까지의 포트를 한번에 지정할 수 있습니다. 그럼 다시한번 상황을 살펴볼까요 ?
# /etc/init.d/iptables status
테이블: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
6    DROP         tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:1:30000

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

네.. 이쁘게 등록이 잘 되었네요. +_+ 방화벽은 기본적으로 등록된 룰을 위에서부터 적용시키기 때문에 순서에 유의하셔야 합니다. 만약 잘못해서 DROP 밑에 룰이 추가된다면 그 룰은 제대로 동작하지 않으니 주의하세요.
참 하나가 빠졌네요... 서버에 계속 ftp접속 시도하던 호스트를 조사한 결과 인도 자카르타의 IP로 확인되었습니다. 호스트명 자체는 dns에 등록되어 있지 않은지라 어쩔 수 없이 같은 대역에 등록되어 있는 24bit를 모두 블록 시키겠습니다.

# iptables -I INPUT 4 -p TCP -s 202.134.0.xxx/24 --dport 20:21 -j REJECT

네 이번에는 맨끝에 추가하는 append가 아닌 중간에 숫자를 지정하여 insert로 룰을 설정하였습니다. 또한 drop이 아닌 reject를 설정함으로서 넌 내가 거부하고 있어!! 라는 것을 티내고 있는 중입니다. ^^;

참고로 iptables명령어를 사용하면 아래와 같이 나오고 init.d의 스크립트를 이용하면 -n이 적용된 결과가 표시됩니다.
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
REJECT      tcp  --  202.134.0.xxx/24    anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
DROP       tcp  --  anywhere             anywhere            tcp dpts:tcpmux:30000

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

이제 설정이 모두 끝났는데 이걸로 끝일까요 ? 아닙니다.. 이상태에서 재부팅을 하거나 iptables 서비스를 정지시키거나 하면 등록된 정보들은 모두 날아가버립니다. 메모리에만 등록되어 있는 상태이기 때문이죠. 아래 명령어를 실행시켜 등록한 룰을 하드디스크에 저장하도록 합시다.
# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK ]

이렇게 해서 앞으로 서비스를 재시작 하거나 재부팅을 해도 설정한 룰이 사라지지 않고 제대로 동작해줄거라 생각됩니다. 관심있으신 분은 /etc/sysconfig 디렉토리 밑에 있는 iptables, iptables-config 파일들을 살펴보시는 것도 좋겠네요.

다음에 시간이 나면 설정파일등에 대해서 또한번 다루어보도록 하겠습니다.
크리에이티브 커먼즈 라이선스
Creative Commons License

'Linux' 카테고리의 다른 글

BIND 메시지 "RFC 1918 response from Internet for xxx.x.168.192.in-addr.arpa"  (1) 2008/09/18
BIND 메시지 "the working directory is not writable"  (0) 2008/09/18
VBS로 작성한 Windows 이벤트로그 백업 스크립트  (0) 2008/08/04
sshd 설정  (1) 2008/03/20
Linux용 방화벽(Firewall) iptables 사용하기  (4) 2008/03/13
yum 으로 pam업데이트 후 cron에서 에러 발생시의 대처  (1) 2008/02/24
Posted by Onedayth
TAG fedora, iptables, Linux, 일본>치바
Trackback 0 Comment 4

TRACKBACK http://linuxwin.com/trackback/20 관련글 쓰기

댓글을 달아 주세요

  1. BlogIcon 루비스

    내 집에서 돌리는 서버에는 ssh 줄기차게...
    걍 로그파일만 구경만 하고 있었는데 나도 막아볼까 -ㅅ-;

    집안 대청소 했더니 (화장실 위주로) 온몸이 뻐근... 게다가 상 치르냐고 3일 연속 큰절만 했더니 온몸이 부들부들...

    2008/03/13 22:59 [ ADDR : EDIT/ DEL : REPLY ]
    • Oneday

      어.. 큰일치뤘다야... 그리고 ssh같은거는 포트를 바꿔버려.. 난 포트번호 바꿔서 비밀리에 운영중... ㅋㅋㅋ

      2008/03/14 00:26 [ ADDR : EDIT/ DEL ]
  2. BlogIcon 루비스

    데이야 근데 테터툴즈에서 파일 업로드가 안되는데 어디 손봐야해?
    파일용량 제한 이런거 관계없이 아예 파일 업로드가 종료되지 않아..

    2008/03/16 14:17 [ ADDR : EDIT/ DEL : REPLY ]
    • Oneday

      훔.. 그건 먼가 이상한데 ? ㅡㅡ?
      첨부터 무언가 설정이 잘못된거 아녀 ?

      2008/03/17 18:50 [ ADDR : EDIT/ DEL ]