카테고리 보관물: 우분투 서버 18.04 LTS

우분투18.04 LTS VPN 와이어가드 Wireguard 설치

2020년 05월 19일 엘미타 댓글 한 개

우분투 18.04 서버에서 VPN 서버로 와이어가드(Wireguard)를 설치해서 윈도우10 클라이언트로 와이어가드 VPN을 거쳐 인터넷에 접속하는 방법을 설명한다.

VPN 하면 OpenVPN을 많이 쓰는데 OpenVPN 보다 와이어가드가 좋은 이유는
1. OpenVPN 보다 빠름.
2. 코드량이 적어서 공격 당할 곳이 적다. (소스 코드가 4000 라인이라던데)
3. (OpenVPN 보다는) 설치 설정이 간단.

OpenVPN 은 인증 방식이나 암호화 방법을 유저가 설정해서 사용하는데 옵션이 많다보니 잘못 건드릴 경우에는 오히려 보안상 허점이 될 수 있는데, 와이어가드는 안전한 방법 하나를 정해서 사용하다, 문제가 생기면 그걸 바꾸는 방식으로 한단다.

IP 포워딩 설정

아래 파일을 열어서 net.ipv4.ip_forward=1 부분을 주석 해제하고 리부팅한다.

1 2	sudo nano /etc/sysctl.conf sudo reboot

리부팅 후 net.ipv4.ip_forward=1 이 되어있는지 확인

1	sudo sysctl net.ipv4.ip_forward

와이어가드 설치 순서

아래 내용은 와이어가드 공식 인스톨 가이드대로 진행한 것이다.

저장소 추가. 아래 커맨드 입력 후 도중에 ENTER 키를 누르자.

1	sudo add-apt-repository ppa:wireguard/wireguard

add-apt-repository 가 없으면 설치

1	sudo apt install software-properties-common

와이어가드 설치

1 2	sudo apt update sudo apt install wireguard

암호키 만들기. 마지막에 출력되는 공개키는 와이어가드 클라이언트 설정에 적어 넣으므로 어딘가에 잠시 보관해 두자.

sudo su -

cd /etc/wireguard/

wg genkey > private

chmod 600 private

wg pubkey < private

tHtxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

conf 파일을 만든다.

1	sudo nano /etc/wireguard/wg0.conf

wg0.conf 파일 내용

[Interface]

Address = 10.0.1.1/24

SaveConfig = true

PostUp = iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

PostDown = iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

ListenPort = 1194

[Peer]

PublicKey = aDsxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

AllowedIPs = 10.0.1.2/24

Address 는 와이어가드가 네트워크 인터페이스를 wg0 이라는 이름으로 추가하는데 거기서 사용할 IP 주소이다.
오라클 클라우드의 서버에서 10.0.0.x 대는 사용하니까 10.0.1.x 대를 사용해야 한다.
10.0.0.1로 지정했다가 VPN 접속을 통해서 인터넷이 연결 안되서 한참 헤맸다. 꼭 안쓰는 비어있는 IP 주소 대역을 지정해야 된다.

SaveConfig 는 와이어가드 실행, 종료시 이 conf 파일에 사용한 설정을 저장한다. false 로 해도 된다.
PostUp, PostDown 은 와이어가드 실행, 종료시 실행할 커맨드이다. ens3 은 네트워크 인터페이스 이름이므로 ifconfig 커맨드로 확인해서 바꾸자.
ListenPort 는 서버의 접속할 UDP 포트번호인데 OpenVPN 포트와 같은걸로 지정했다. (오라클 클라우드 서큐리티 리스트에 1194 포트를 이미 열어둬서…)

PublicKey 에는 클라이언트에서 만든 공개키를 넣는다.
AllowdIPs 는 클라이언트의 IP 대역을 지정한다.

iptable 에 udp 포트도 열어주고…

1	sudo iptables -A INPUT -p udp --dport 1194 -j ACCEPT

와이어가드를 conf 파일을 지정해서 기동하자.

1	sudo wg-quick up /etc/wireguard/wg0.conf

한번 conf 파일 지정해서 기동했으면 다음부터는 conf 파일 지정 없이 기동할 수 있다.

1	sudo wg-quick up wg0

와이어가드를 끌때는

1	sudo wg-quick down wg0

와이어가드 윈도우10 클라이언트 설정

윈도우즈용으로 받으면 된다. 4메가 밖에 안한다.
다운로드 – https://www.wireguard.com/install/

1. 설치 후에 실행.
2. 실행 후 화면에서 왼쪽 아래 터널추가 버튼을 눌러서, 빈 터널을 추가를 선택.
3. 이름은 적당히 넣으면 되고, 공개키 부분을 복사해서 wg0.conf 의 [Peer] 부분에 있던 PublicKey 에 넣는다.
4. 아래 설정을 쓰는 곳에 아래 내용을 입력하고 저장한다.

[Interface]

PrivateKey = AOBxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

Address = 10.0.1.2/32

DNS = 1.1.1.1

[Peer]

PublicKey = tHtxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

AllowedIPs = 0.0.0.0/0

Endpoint = 111.222.123.123:1194

PrivateKey 는 클라이언트의 개인키. 그대로 둔다.
Address 는 클라이언트가 사용할 IP (대역이 아니니 /32 로 지정)
DNS 는 DNS 서버. 1.1.1.1은 클라우드플레어의 DNS 주소이고 구글은 8.8.8.8. 취향따라 쓰자. (내 경우에는 이걸 지정안하면 인터넷 접속이 안된다)
PublicKey 에는 서버의 공개키를 적어 넣는다. (wg show 명령으로 볼 수 있다)
AllowdIPs 는 클라이언트에서 VPN 서버를 경유할 IP 대역이다. 0.0.0.0/0 은 모든 IP를 VPN 서버를 경유해서 접속하겠다는 설정이다.
Endpoint 는 와이어가드 서버의 IP 주소와 포트번호를 적는다.

설정은 이게 끝이다. VPN 서버에 접속하고, IP가 서버의 IP로 바뀌었는지 확인한다.
IP 확인 사이트 – https://www.whatsmyip.org/

우분투 서버 18.04 LTS, 우분투 서버 20.04 LTS

터미널 글자색 컬러로 나오게 하는 방법. 우분투 서버 20.04 LTS

2020년 04월 26일 엘미타 댓글 남기기

글 제목을 바꾸었다.
터미널 글자색 컬러로 나오게 하는 방법. 우분투 서버 18.04 LTS에서 터미널 글자색 컬러로 나오게 하는 방법. 우분투 서버 20.04 LTS 로.
그렇다. 우분투 서버 20.04 도 터미널 컬러는 아래와 같이 바꾸면 된다.

터미널 컬러는 왜 기본이 아닐까…
우분투 서버 18.04 LTS/우분투 서버 20.04 LTS 설치하고 제일 먼저 해야하는 일.

홈디렉토리 이동 후 .bashrc 를 편집한다.

1 2	cd nano .bashrc

아래 줄을 찾아서 주석을 해제하자.

1	force_color_prompt=yes

.bashrc 파일을 적용.

1	source .bashrc

이전 글 우분투 서버 14.04 에서는 /etc/skel/.bashrc 파일을 가져와서 홈디렉토리의 .bashrc 파일을 덮어 썼는데 18.04 에선 바뀌었나…
어쨋든 위 방법으로 해결했다.

20.04 버전에서 설치하자마자 확인해 봤는데 /etc/skel/.bashrc 파일과 홈의 유저 디렉토리의 .bashrc 파일은 똑같았다.
그냥 force_color_prompt=yes 요걸 주석 해제하는 방법으로 가야한다.
　
　
관련글: 터미널 글자색 컬러가 나오게 하는 방법. 우분투 서버 14.04 LTS

우분투 서버 18.04 LTS

우분투 서버 18.04 LTS 아파치 톰캣9 연동 버츄얼 호스트 설정

2020년 04월 20일 엘미타 댓글 남기기

우분투 서버 18.04 LTS에서 아파치와 톰캣9를 설치하고, 톰캣에 디플로이한 war 어플리케이션을 아파치를 경유해서 버츄얼 호스트로 접속하도록 아파치와 톰캣을 연동하는 방법을 설명한다.

톰캣만 써도 잘 되는데 왜 아파치를 경유하냐하면, 아파치에서 워드프레스 등 다른 서비스를 돌리고 있어서 톰캣도 같은 입구(아파치)를 통해서 외부로 연결되는 설정을 하는게 관리하기 편해서 그렇다.
딱히 아파치가 필요하지 않은 경우에는 그냥 톰캣만 기동해서 사용해도 된다.

아파치 톰캣9 설치와 모드 설정

설치는 아래 커맨드 한방으로 간단하게 끝.

1	sudo apt install apache2 tomcat9

아파치 모드 proxy 와 proxy_ajp 를 활성화한다.

1 2	sudo a2enmod proxy sudo a2enmod proxy_ajp

proxy_ajp는 mod_jk 대신 사용하는건데 mod_jk는 따로 설치해야 되지만 proxy_ajp는 기본 설치된 모드이기 때문에 편하다. 복잡한 워커 설정도 필요없고.

아파치 site-available conf 설정

버츄얼 호스트 설정을 작성하기 위해서 /etc/apache2/site-available 디렉토리에 test.conf 파일을 생성한다. 내용은 아래처럼 작성.

ServerName test.elmi.page

ServerAdmin test@elmi.page

DocumentRoot /home/elmi/webapps/test

Require all granted

</Directory>

ProxyPass ajp://localhost:8009/

Require all granted

</Location>

</VirtualHost>

80 포트로 들어오는 요청에 대해서 서버이름은 test.elmi.page, 디렉토리 /home/elmi/webapps/test 에 대한 접근 모두 허용(Require all granted)
http://test.elmi.page 루트 / 를 AJP 프로토콜로 localhost:8009 로 넘긴다. localhost:8009 는 톰캣에서 AJP 프로토콜로 열어둘 주소/포트.

서브도메인을 추가하고 싶은 경우에는 conf 파일을 복사해서 다른 도메인/디렉토리로 설정하면 된다.

conf 파일을 수정한 경우에는 아래 커맨드로 적용하자.

1 2	sudo a2ensite test.conf sudo service apache2 reload

서비스 리로드에서 에러가 났을 경우에는 아래 커맨드로 내용 확인.

1	sudo journalctl -xe

톰캣 server.xml 설정

톰캣의 server.xml을 편집한다. 위치는 /etc/tomcat9/server.xml

아래 8080 포트로 HTTP 연결은 아파치를 통해서 AJP 연결을 할 경우에는 필요 없으니 주석처리하자. (주석처리 안해도 딱히 지장 없음)

1	<!-- <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> -->

주석처리 된 프로토콜 AJP/1.3 부분을 찾아서 주석에서 해제.

1	<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

호스트 설정에서 appBase 부분을 아파치에서 설정한 DocumentRoot, Directory와 맞추고, 디폴트로 사용되는 localhost 부분은 남겨두고 별도로 Alias로 서브도메인을 넣어둔다.

1 2	<Host name="localhost" appBase="/home/elmi/webapps/test" unpackWARs="true" autoDeploy="true"> <Alias>test.elmi.page</Alias>

appBase 디렉토리(/home/elmi/webapps/test)에 ROOT.war 파일을 넣으면 자동으로 ROOT 디렉토리에 압축을 풀어서 디플로이 될 것이다. ROOT.war 파일을 사용하면 http://test.elmi.page/ 도메인 루트로 접속하도록 되는것이고, ROOT.war 이외에 이름 예를 들면 hoge.war 라는 war 파일을 사용하면 http://test.elmi.page/hoge/ 로 접속해야 한다.

서브도메인을 추가하고 싶은 경우에는 Host 태그를 복사해서 name을 name=”test2.elmi.page” 처럼 서브도메인 이름으로 넣으면 된다. 물론 appBase는 다른 곳으로 지정할것.

server.xml 파일을 수정했으면 서버 재기동해서 적용하자.

1	sudo service tomcat9 restart

아파치 로그는 /var/log/apache2, 톰캣 로그는 /var/log/tomcat9 에서 확인 가능하니 뭔가 제대로 안되면 로그 파일을 확인하면 된다.
conf 파일이나 xml 파일 수정 후에 리로드, 재기동하면 에러가 나는 경우는 파일의 문법상 문제이기 때문에 금방 찾아서 고칠 수 있다.

접속 테스트

브라우저로 확인해도 되지만, 내가 쓰는 page 도메인은 SSL 인증서를 발급 받지 않으면 브라우저로 확인이 불가능해서 wget 으로 에러 없이 index.html 파일이 제대로 보이는지 확인했다.

1	wget test.elmi.page

404 에러가 잘 나올텐데 아파치 access 로그부터 확인해서 연결이 잘 들어오고 있나 확인하자. 아파치에 문제가 없으면 그 다음은 톰캣의 억세스 로그를 보면 된다.
주로 디렉토리 경로가 잘못된 경우가 많으니 아파치의 conf 파일과 톰캣의 server.xml 에서 디렉토리 경로를 다시 잘 확인해 보자.

보안, 우분투 서버 18.04 LTS

geoip 갱신 작업을 crontab 에 등록하기

2020년 04월 05일 엘미타 댓글 남기기

우분투 18.04 에서 iptables 애드온 xtables 로 국가 별로 접속 차단 허용 글에서 KRNIC 에서 받은 파일을 db-ip.com 포맷으로 변환하는 go 실행 파일과 CSV 파일을 다운로드해서 빌드까지 하는 쉘스크립트 파일을 공개했는데, 주기적으로 실행해서 국가별 IP 목록을 갱신해줘야 좀 더 정확하게 IP 차단 허용이 가능할거다.
일단 5일 정도 간격을 두고 실행하도록 crontab 설정을 해 보자.

실행할 쉘스크립트 파일명 : geoip.sh
쉘스크립트, go 실행파일은 여기에. https://github.com/elmitash/geoip_krnic2dbip

crontab 등록과 확인

리눅스 시스템에서는 주기적으로 프로그램을 실행할 때 crontab 이라는 명령으로 등록하는데, sudo 를 사용하면 루트 권한으로 실행 되는 crontab 을 등록할 수 있다. geoip.sh 에서 실행하는 xtables 빌드 파일(/usr/local/libexec/xtables-addons/xt_geoip_build)은 루트 권한이 필요하기 때문에 sudo 로 사용해서 root 의 crontab 을 등록하겠다.

crontabl 편집을 처음 실행하면 편집기를 선택해야된다. 1을 넣어서 nano 에디터를 선택했다. 각자 편한대로 하자.

$ sudo crontab -e

no crontab for USER - using an empty one

Select an editor. To change later, run 'select-editor'.

1. /bin/nano <---- easiest

2. /usr/bin/vim.basic

Choose 1-2 [1]: 1

# 문자로 주석처리된 내용 제일 아래쯤에 써 넣으면 된다.
#분 시 월 일 요일 실행커맨드라인
나는 5일 마다 4시 12분에 실행하도록 설정했다. 오늘은 실행 안되고, 5일 후부터 실행 된다.

1	12 4 /5 * cd /home/USER/;./geoip.sh

일 부분에 넣은 */5 가 5일마다를 뜻하고, 시간이나 분에도 /5 를 넣으면 5분마다, 5시간마다 실행하게 된다.
매달 5, 10, 15, 20, 25, 30일처럼 5의 배수일마다 지정하려면 1-31/5 로 지정하면 될거다.
요일은 0-6 범위에서 지정하고 일,월,화,수,목,금,토 순서이다. 예를들면 매주 수요일에 실행하려면 3을 넣으면 된다.

홈디렉토리에 파일을 다운로드하고 그 위치에서 쉘스크립트를 실행하기 위해서 cd 명령 후에 쉘스크립트를 실행한다.

아래 명령으로 등록한 내용을 확인 할 수 있다.

1	sudo crontab -l

crontab으로 실행한 기록은 /var/log/syslog 파일에서 볼 수 있다.

보안, 우분투 서버 18.04 LTS

우분투 18.04 에서 iptables 애드온 xtables 로 국가 별로 접속 차단 허용

2020년 03월 29일 엘미타 댓글 남기기

2022/10/14 업데이트
아래 업데이트 내용과 같이 apt upgrade로 이 글에서 설치한 xtables 최신버전(3.9)이 지워져서 xtables-addons-3.9.tar.xz 파일로 다시 설치하려 했지만, 이것저것 업데이트 된 탓인지 make에서 에러가 발생.
아래 사이트에서 아래 deb 파일을 다운로드 받아서 설치하고, iptables를 재설정(같은 설정 파일로 iptables-apply)하면 된다.
1. xtables-addons-common_3.9-1ubuntu0.2~20.04.3_amd64.deb
2. xtables-addons-dkms_3.9-1ubuntu0.2~20.04.3_all.deb
다운로드 – https://launchpad.net/~ci-train-ppa-service/+archive/ubuntu/4610-deletedppa/+build/21765689

deb 파일 설치 커맨드

1
2

sudo dpkg -i xtables-addons-common_3.9-1ubuntu0.2_20.04.3_amd64.deb
sudo dpkg -i xtables-addons-dkms_3.9-1ubuntu0.2_20.04.3_all.deb

2020/6/25 업데이트
xtables-addons-common, xtables-addons-dkms이 업데이트 되면서 설치한 xtables 최신버전(이글에서 xtables-addons-3.9.tar.xz 파일로 설치한 것)이 덮어씌워지면서 iptables 에 geoip 설정 내용이 적용 안되게 된다. xtables-addons-3.9.tar.xz 파일로 다시 설치하면 복구되니 아래 인스톨 방법대로 한번 더 설치해주면 된다.

2020년1월부터 maxmind사가 제공하는 geoip 정보 파일이 회원가입제로 바뀌었다. 다른 방법으로 국가별 IP 정보를 얻어서 차단하거나 허용하는 방법에 대해서 자세히 설명. iptables 애드온 xtables 와 KRNIC 에서 제공하는 국가별 IP 정보를 사용한다.

우분투 18.04 에서 방화벽 iptables 의 애드온 xtables 를 이용해 국가 별로 접속 차단 또는 허용하는 방법을 쓰려고 했는데 여러가지 문제에 부딪혀 아주 긴 글이 될 것 같다.
일단 과정을 기록하면서 쭉 써보겠는데 너무 글이 난잡해서 어려워지면 나중에 설정 순서만 따로 정리해보도록 해야겠다.

자, iptables 에 xtables 라는 애드온을 설치해서 국가별로 접속을 차단하거나 허용하는 설정을 해 보겠다.

===== 경고!!! =====
클라우드 서비스나 VPS 를 사용하고 있는 서버에서 SSH 접속 포트에 이 글의 내용을 적용할 경우에는 iptables 에 대한 충분한 지식을 갖고 설정하지 않으면 서버에 접속이 불가능해 질 수가 있으니 꼭!!! 잘 확인하고 적용하도록 합시다. 최소한 리부팅하면 되돌아 올 수 있도록 iptables 에 재기동시 디폴트 파일에는 적용하지 않을 것을 추천합니다! 이 블로그에서도 iptables 에 대한 내용은 많이 다루었으니 먼저 읽어 보시는걸 추천합니다.

원격 접속 상태에서 iptables 의 안전한 적용 방법
우분투 서버 18.04 iptables 서버 재기동으로 초기화 되는 문제

xtables 설치

1	sudo apt install xtables-addons-common

관련 팩키지가 많아서 170메가쯤… 크다. 설치는 이게 전부.

xtables 에서 사용할 국가별 IP 바이너리 파일 작성

xtables 를 사용하기 위해선 /usr/lib/xtables-addons 에 국가별 IP 정보가 들어있는 파일을 다운로드하는 스크립트와 빌드하는 스크립트가 있는데 실행해도 작동하지 않는다.
원래라면 이 두 스크립트로 차례대로 실행해 CSV 파일로 되어 있는 국가별 IP 정보를 다운로드 하고, CSV 파일을 다시 바이너리 파일로 빌드해야 xtables 가 작동하게 된다.

Xtables-addons Git 에서 최신 버전 스크립트를 찾아서 열어보면, 다운로드 스크립트는 maxmind 라는 회사에서 제공하는 geoip 정보를 다운로드 하도록 만들어져 있다.
그런데 이 회사는 2020/01/01부터 정책을 변경해서, 회원가입을 해서 다운로드를 받도록 하고 있기 때문에 스크립트도 동작하지 않고, 회사 사이트에서 회원가입하고 geoip 정보는 받는것도 난 쓰기가 싫어서 다른 방법을 찾아봤다.

IP 를 관리하는 각 대륙별 인터넷 레지스트리에서 자기들이 할당한 IP 리스트에 IP 정보와 함께 국가 정보도 들어있다. 아래가 각 대륙별 인터넷 레지스트리들이 제공하는 IP 할당 정보 파일.

ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-extended-latest

ftp://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest

ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-extended-latest

ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest

ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-extended-latest

포멧은 CSV형식으로 되어있는데 자세한 포맷에 대해선 여기 문서에 잘 나와있다. (별거 없음)

이 파일들로 국가별로 정리하고 연속된 IP는 합치고하는 출력하는 프로그램을 자바로 다 만들고 나서 여기까지 글을 쓰는 도중에 발견한…
KRNIC (한국인터넷정보센터) 에서도 같은 국가별 IP 할당 정보를 전국가분을 하나의 CSV 파일로 제공하고 있는것이다… 두둥…
다운받은 시점으로 3일전 등록한 내용까지 있으니 꽤 자주 업데이트 되는것 같다. 이건 차차 더 보기로 하고.

xtables-addons 의 빌드 스크립트(파일명:xt_geoip_build 갱신일:2020/01/07)에서 사용하는 파일 포맷은 DB IP 라는 회사에서 제공하는 geoip 정보가 담긴 csv 파일인데, 구조가 시작IP,끝IP,국가코드(두자리) 이다.

1	8.8.8.0,8.8.8.255,US

KRNIC 에서 받은 CSV 파일을 위 형식으로 변환하고, 빌드 스크립트를 돌려서 바이너리 데이터베이스 파일을 만들면 xtables 설정을 위한 준비가 끝나는 것이다.
DB IP 포맷으로 변환한 파일은 자바로 작성해서 바로 출력했다.
변환시 사용한 자바 코드 – https://github.com/elmitash/geoip_convert_krnic2dbip/
go로도 만들었다. 실행파일과 쉘스크립트도 있으니 이쪽을 사용하는게 편하다. https://github.com/elmitash/geoip_krnic2dbip
CSV 파일명을 dbip-country-lite.csv 로 바꾸고 아무데나 넣어두고 그자리에서 빌드 스크립트를 실행하면 된다.

xt_geoip_build 스크립트 실행시 에러가 나온다.

$ /usr/lib/xtables-addons/xt_geoip_build

Can't locate Net/CIDR/Lite.pm in @INC (you may need to install the Net::CIDR::Lite module) (@INC contains: /etc/perl /usr/local/lib/x86_64-linux-gnu/perl/5.26.1 /usr/local/share/perl/5.26.1 /usr/lib/x86_64-linux-gnu/perl5/5.26 /usr/share/perl5 /usr/lib/x86_64-linux-gnu/perl/5.26 /usr/share/perl/5.26 /usr/local/lib/site_perl /usr/lib/x86_64-linux-gnu/perl-base) at /usr/lib/xtables-addons/xt_geoip_build line 9.

BEGIN failed--compilation aborted at /usr/lib/xtables-addons/xt_geoip_build line 9.

구글링 해보니 아래 라이브러리가 필요하단다. 설치하자.

1	sudo apt install libnet-cidr-lite-perl libtext-csv-perl

다시 실행하면 잘 될거다. 안되면 구글링…

$ /usr/lib/xtables-addons/xt_geoip_build

487871 entries total

28 IPv4 ranges for AD

6 IPv6 ranges for AD

459 IPv4 ranges for AE

114 IPv6 ranges for AE

...

빌드 스크립트를 실행한 디렉토리에 국가별로 바이너리로 빌드 된 파일들이 생기게 된다. xtables가 인식하는 지정된 디렉토리가 있으니 거기에 넣어야한다. 디렉토리를 작성해서 .iv4 .iv6 파일을 모두 이동시키자. 인터넷에서 xtables 설치 과정을 보면 xt_geoip 디렉토리 아래 BE 와 LE 디렉토리 이야기가 많이 나와서 BE 는 도대체 뭔가 했는데 Big Endian 과 Little Endian 의 약자이다. 우분투는 Little Endian 시스템이니까 LE 에 넣으면 될 것 같다.

1 2	sudo mkdir -p /usr/share/xt_geoip/LE sudo mv *.iv[46] /usr/share/xt_geoip/LE

문제 발생

뭔가 버그가 있는건지 뭘 잘못한건지 모르겠는데, iptables 에 REJECT 를 한줄 추가하면 국가를 뭘로 지정하든 모든 국가가 다 블럭되는것 같다.
아주 수상한 상황이니 사용할 때는 꼭 리붓하면 되돌아 올 수 있도록 설정하고 사용해 보자. 클라우드 서버에서 SSH 막히면 망한다.
해결방법을 찾았다. xtables 를 최신 버전으로 빌드해서 설치하면 잘 작동된다.

xtables 최신버전 설치

소스포지에 xtables-addons 의 다운로드 페이지에 가서 최신버전의 xtables 압축파일을 다운로드 받자.
이 글에서는 xtables-addons-3.9.tar.xz 파일을 받아서 설치하는 방법으로 진행한다.

다운받은 파일을 서버에 올리고, xz 압축 파일을 써 본적이 없을 경우에 설치부터 해서 아래 명령으로 압축 해제.

1 2	sudo apt install xz-utils tar xvfJ xtables-addons-3.9.tar.xz

압축해제된 디렉토리로 이동해서 configure 실행.

1 2	cd xtables-addons-3.9/ ./configure

내경우에는 에러가 나서 에러 내용으로 검색해보니 pkg-config, iptables-dev 가 부족해서 설치했다.

1 2	sudo apt install pkg-config sudo apt install iptables-dev

다시 실행하니 문제 없음.

./configure

make

sudo make install

설치가 무사히 끝나면 다운로드 스크립트와 빌드 스크립트가 /usr/local/libexec/xtables-addons/ 디렉토리에 설치된다. 다운로드는 작동 안할 것이고, 빌드는 이글 위에서 사용했던 것과 같은 버전(최신버전)이 설치 된다.

이미 국가별 IP 파일은 모두 빌드해서 /usr/share/xt_geoip/LE 디렉토리에 넣어놓았으면 다시 빌드할 필요는 없다.
iptables 에 geoip 설정을 넣으니 에러가 발생해, 내용을 보니 이번 최신버전 xtables 는 LE 디렉토리를 사용하지 않는다.
/usr/share/xt_geoip 디렉토리에 빌드된 국가별 IP 파일을 넣어야한다.

파일들을 옮기고, LE 디렉토리는 필요없으니 지우자.

cd /usr/share/xt_geoip/LE

sudo mv * ..

cd ..

sudo rm -rf LE

이렇게 xtables 최신버전을 설치하고, 국가별 IP 파일도 옮기고 나니 아래에서 설정한 내용들이 잘 적용 된다. 만세 ㅠㅠ

iptables 에 국가별 차단 허용 등록

참고글:원격 접속 상태에서 iptables 의 안전한 적용 방법

안전하게 하려면 현재 iptables 내용을 파일로 백업하고 백업한 파일을 복사해서 geoip 설정을 추가한 파일을 만든 후에 iptables-apply 로 적용해 본다.

1 2	sudo iptables-save > iptables.bak sudo cp iptables.bak iptables.geoip

iptables.geoip 파일을 열어 필요에 따라서 아래 예시를 참고해서 적당히 추가

예시: 포트 22 (SSH)로 들어오는 한국, 일본, 미국 IP 이외를 모두 블럭한다.

1	-A INPUT -p tcp -m tcp --dport 22 -m geoip ! --src-cc KR,JP,US -j REJECT

예시: 포트 22 (SSH), 80 (http), 443 (https)로 들어오는 중국, 인도 IP 를 모두 블럭한다.

1	-A INPUT -p tcp -m multiport --dports 22,80,443 -m geoip --src-cc CN,IN -j REJECT

예시: 포트 22 (SSH)로 들어오는 한국 IP 만 허용한다. ACCEPT 의 디폴트 폴리시가 ACCEPT 가 아닐 경우에는 아래 두번째 줄도 필요.

1 2	-A INPUT -p tcp -m multiport --dports 22 -m geoip ! --src-cc KR -j REJECT -A INPUT -p tcp -m multiport --dports 22 -m geoip --src-cc KR -j ACCEPT

iptables.geoip 내용을 iptables에 적용 후, 10초 동안 적용할지 말지 선택하지 않으면 원래대로 되돌린다.

1	sudo iptables-apply iptables.geoip

시험삼아 JP, US 를 블럭하니 SSH 접속이 끊겨버렸다. ㅋㅋㅋ
잘 적용 되었으니 이제부터는 SSH 포트로 접속하는 수많은 나라들 안녕!

===== 경고!!! =====
아래 내용은 클라우드 서비스나 VPS 를 사용하는 서버에서는 SSH 접속 포트에는 적용하지 않는 것이 안전합니다! 서버 재기동시 접속이 불가능해질 수 있습니다!

마지막으로 서버 재기동시 읽혀지는 iptables 디폴트 파일에도 같은 내용을 넣어주면, 서버가 재기동 되더라도 적용될 것이다.
참고글:우분투 서버 18.04 iptables 서버 재기동으로 초기화 되는 문제

국가코드는 아래에서 보자.
국가코드 조회

엘미타 for 모비노기