로그 기록

• 패킷 필터링 결과를 로그로 로깅해야 할 경우, LOG 대상으로 지정하면 퍼실리티를 kernel로 하는 로그 메시지가 기록됨

$ iptables -A INPUT -s 192.168.10.0/24 -j LOG
  
# 로그에 아래와 같이 남음 (/var/log/messages)
Apr 7 16:50:32 jongpak kernel: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx SRC=192.168.10.9 DST=192.168.11.2 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=4709 DF PROTO=TCP SPT=50423 DPT=22 WINDOW=253 RES=0x00 ACK URGP=0

• SRC: 출발지 주소
• DST: 목적지 주소

보통은 거부한 패킷에 대해 로깅을 기록함 (로그 용량이 매우 커지기 때문)

• --log-prefix 옵션을 사용하면 로그에 첨부할 메시지를 지정할 수 있음

$ iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-prefix "Dropped IP: "

IP 위장 대책

• 공격자는 공격지를 들키지 않기 위해 패킷의 출발지 IP 주소를 위장하는 경우가 많음.
• IP패킷만을 가지고 위장된 패킷인지 여부를 판단하는 것은 무리가 있지만, 출발지 IP주소로 사설 IP가 설정된 패킷이 인터넷상에 있는 서버에 도착한다면 주의가 필요
  • 물론 내부 통신하는 경우는 그럴수 있겠지만...