'공부하고(?)'에 해당되는 글 60건

# MASQUERADE, IP공유기

# 마스커레이드 할때는 꼭 포워딩이 가능하도록
echo "1" > /proc/sys/net/ipv4/ip_forward

#FireWall(방화벽 설정입니다,) 
#기본 정책을 accept로 사용했습니다. 
#방화벽을 사용하지 않는거나 마찬가지로 단순히 인터넷 공유를 위해서 ... 
/sbin/iptables -P INPUT ACCEPT

#아래는 방화벽 설정해서 사용할때 사용하는 것입니다. 
#인터넷 공유할때 좀 편하게 사용하기 위해서 다음설정은 주석 처리 했습니다. 
#/sbin/iptables -P INPUT DROP 
#/sbin/iptables -A INPUT -s 0/0 -d 218.155.15.94 -p tcp --dport www -j ACCEPT 
#/sbin/iptables -A INPUT -s 0/0 -d 218.155.15.94 -p tcp --dport ssh -j ACCEPT 
#/sbin/iptables -A INPUT -s 0/0 -d 218.155.15.94 -p tcp --dport ftp -j ACCEPT 
#/sbin/iptables -A INPUT -s 0/0 -d 218.155.15.94 -p tcp --dport 4661 -j ACCEPT 
#/sbin/iptables -A INPUT -s 0/0 -d 218.155.15.94 -p udp --dport 10712 -j ACCEPT 
#/sbin/iptables -A INPUT -s 0/0 -d 218.155.15.94 -p tcp --dport 53 -j ACCEPT 
#/sbin/iptables -A INPUT -s 0/0 -d 218.155.15.94 -p udp --dport 53 -j ACCEPT 
#/sbin/iptables -A INPUT -j DROP 
#/sbin/iptables -A INPUT -j LOG

#/usr/local/sbin/iptables -A OUTPUT -s 218.155.15.94 -d 0/0 -j ACCEPT 
#아웃 바운드 기본 정책으로 설정해도 무방 합니다.

#Ping DROP 
#Ping으로 여러가지 네트워크 자원에대한 소비를 없애고자. 에코 리퀘스트는 아예 드랍시킵니다. 
#/sbin/iptables -A INPUT -s 0/0 -d 218.155.15.94 -p icmp --icmp-type echo-request -j DROP

#MASQUERADE 
#인터넷 공유를 위한 설정입니다. 
#나가는 패킷을 마스쿼레이딩해야 되기때문에 다음과 같이 설정합니다. 
#아래라인만 설정해줘도 마스쿼레이딩 됩니다. 
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 
#인풋 인터페이스는 모두다 받아들임 
/sbin/iptables -A INPUT -i eth0 -j ACCEPT 
#아웃풋 인터페이스는 모두다 받아들임 
/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT

#예전에 ipchains를 사용할때 쓰던 마스쿼레이딩 입니다. 

# IPCHAINS 
#/sbin/ipchains -P forward DENY 
#/sbin/ipchains -A forward -i eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQ

#방화벽 구성예제

/usr/local/sbin/iptables -P INPUT DROP
/usr/local/sbin/iptables -A INPUT -s 0/0 -d 21.15.15.94 -p tcp --dport www -j ACCEPT
/usr/local/sbin/iptables -A INPUT -s 0/0 -d 21.15.15.94 -p tcp --dport ssh -j ACCEPT
/usr/local/sbin/iptables -A INPUT -s 0/0 -d 21.15.15.94 -p tcp --dport ftp -j ACCEPT
/usr/local/sbin/iptables -A INPUT -s 0/0 -d 192.168.0.2 -p tcp --dport 4661 -j ACCEPT
/usr/local/sbin/iptables -A INPUT -s 0/0 -d 192.168.0.2 -p udp --dport 10712 -j ACCEPT

#Ping DROP
/usr/local/sbin/iptables -A INPUT -s 0/0 -d 21.15.15.94 -p icmp --icmp-type echo-request -j DROP
#Traceroute DROP
/usr/local/sbin/iptables -A INPUT -s 0/0 -d 21.15.15.94 -p udp --dport 33435:33525 -j DROP
#MASQUERADE
/usr/local/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/usr/local/sbin/iptables -A INPUT -i eth0 -j ACCEPT
/usr/local/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT

# KOREAN

사설 IPv4 주소  :
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

루프백 IPv4 주소 :
127.0.0.0 - 127.255.255.255

멀티캐스트 IPv4 주소 :
224.0.0.0 - 239.255.255.255

실험용 IPv4 주소 :
240.0.0.0 - 255.255.255.255


# ENGLISH

Private IP Address :
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Loopback Address  :
127.0.0.0 - 127.255.255.255

Multicast Address :
224.0.0.0 - 239.255.255.255

Experimental Address :
240.0.0.0 - 255.255.255.255    

tar 파일을 엉뚱한 디렉토리에 풀어 디렉토리가 망가진 경험, 그리고 짜증내며 하나씩 지워 본 경험, 저도 있습니다.

사실, 리눅스는 잘 찾아 보면 죽으란 법은 없는 것 같습니다. 

어느날도 하릴 없이, 잘못 풀어버린 tar파일을 하나씩 지우다가, 

"앗!!! xargs가 있지??" 

라는 생각이 딱 들더군요.

그래서 다음과 같이 해봤습니다.

$ tar tfz filename.tar.gz | xargs rm 

예상대로, 잘 삭제가 되었습니다. 이제 수작업은 필요가 없어진것입니다.
 

위의 명령을 잠시 살펴보면, tar의 -t 옵션은 묶여진 파일이 뭐뭐인지를 보여줍니다. 

그리고, xargs 는 파이프로 이 리스트를 입력으로 받아서 xargs 뒤에 있는 명령어 한테 ‘너의 파라미터다!’ 하면서 넘겨 줍니다. 
그러면, rm이 넘겨 받은 이름의 파일을 지웁니다.

또는

$ rm -rf `tar tfz filename.tar.gz` 이라고 쓰면 더 간단하지요!!!

서버 운영하다가, 정신없이 밤새고 압축을 덜컥 풀었는데, 이거뭐... 무슨 파일을 풀었는지 구분안 될 경우에 다시 되돌리면 됩니다.

APACHE 웹 서버를 운영하면 ,로그를 반드시 사용하게 되는 경우가 많은데, 로그 파일의 크기가 커질수록 시스템 부하는 점점 감당할수 없게 되고, 로그 분석 또한 원활하지 않는 경우가 많이 발생하게 된다. 

이러한 문제를 해결할 수 있는 가장 간단한 방법은 웹서버의 로그 파일을 매일 매일 따로 관리하게 하는 것인데, cronolog라는 프로그램을 사용하면 굉장히 쉽게 이 작업을 할 수 있다.

cronolog의 설치 및 사용방법.

1. cronolog 다운받기
http://cronolog.org/download/index.html
위 사이트에 접속하여, 적절한 버전을 다운로드 한다.

2. compile  및 설치
[root @ linux]# tar xzvf cronolog-1.6.1.tar.gz 
[root @ linux]# cd cronolog-1.6.1 
[root @ linux]# ./configure --prefix=/usr/local/cronolog 
(기타 옵션을 알아서 사용하시면 됨) 
[root @ linux]# make;make install

3. httpd.conf 설정.
[root @ linux]# vi httpd.conf 
........... 
TransferLog "|/CronLog/sbin/cronolog /home/apache/logs/%Y/%m/%
d/access.log" 
ErrorLog "|/CronLog/sbin/cronolog /home/apache/logs/%Y/%m/%d/errors.log" 
........... 

vi 저장 및 종료 (:wq!)

4. apache restart

Name Server는 이런  DNS를 운영하는 서버입니다.
일반적으로 가장 널리 쓰이는 프로그램은 BIND(Berkely Internet Name Domain)이라는 프로그램입니다.
사용하기도 쉽고, 설정 또한 편리한데다가 많은 사람들이 사용하다 보니까, 각종 버그 리포트 및 패치가 빨리 이루워 지고 사용에 대한 도움도 받기 쉬워서 많이 이용되고 있습니다.

BIND의 설치

1. 다운로드
https://www.isc.org/downloadables/11  에서 적절한 버전을 다운로드 한다.
2009년 3월 26일 현재에는 BIND 9.6.0-P1 버전이 product release 버전입니다. 
(예:bind-9.6.0-P1.tar.gz)

2.적당한 디렉토리에 압축을 해제한다.
  [root @linux]#/var/tmp
  [root @linux]#tar xvfz bind-9.6.0-P1.tar.gz

3.make 유틸리티를 이용해서 컴파일 한다.
  [root @linux]#make stdlinks --> 최상위 레벨 디렉토리에서 모든 것을 컴파일 해둔다.
  [root @linux]#make clean    --> 새로 컴파일 할수 있도록 함.
  [root @linux]#make depend --> 의존성 검사 
  [root @linux]#make all        --> 모두 파일을 컴파일
  [root @linux]#make install   --> 옵션을 사용해서 설치되는 위치를 지정할 수있다.
                                                (예:--DESTDIR=/usr/local/bind)
4.환경 파일을 설정한다.
  (예:named.conf , 특별한 옵션을 주지 않고 설치 했다면 /etc/아래에 위치해야 된다.)

5. 환경 설정
  [root @linux]#vi /etc/named.conf
  #named.conf --> BIND운영환경 설정파일 
  options {  --->각종옵션들을 적어 줍니다.
         directory "/var/named"; --->named 가 사용할 임시 디렉토리 주소
  }; 

  #(아래의 파일은 /var/named아래에 있어야 됩니다.) 위에서 지정한 디렉토리 아래
  zone "." in { --> 모든 도메인 네임이 참고 할 데이터 영역 지정
        type hint; 
        file "db.named.cache";  -->ISC에서 제공하는 데이터 파일입니다.
  }
  zone "domain.net" in { -->자신의 도메인이 참고 할 데이터 영역 지정.
        type master; 
        file "db.domain.net"; -->자신이 설정 해주어야 됩니다.
  }; 

  zone "123.21.204.in-addr.arpa" in  { 
        -->아이피를 도메인 네임으로 변경해줌(서버 아이피가 204.21.123.XX일때)
        type master; 
        file "named.local"; 
  }
위의 설정 파일은 단지 예제에 불과하므로, 자신의 시스템에 맞도록 설정해야 합니다.

설정파일을 만드는 법은 BIND문서를 참고 하시거나 인터넷에서 검색해보시는 것도 좋은 방법이 될 것입니다. 위의 설정 파일 부분에서 도메인 영역을 자신의 도메인으로 바꾸고, 아이피 부분을 자신의 서버 아이피로 바꾸어 주고 실행 시켜면 네임서버가 실행 됩니다.

물론 각 지정 파일들은 지정 디렉토리 아래에 존재해야 됩니다.
ISC에서 제공하는 파일은 FTP로 받아 올수 있습니다.

자신의 도메인 서버가 사용할 영역 파일은 다음과 같을 수 있습니다
  [root @linux]#vi /var/named/db.domain.net
  $TTL 3h
  @                IN        SOA        ns.domain.net.        root.domain.net. (
                        1 ; serial
                        3h ; refresh
                        1h ; retry
                        1w ; expire
                        1h ; default_ttl
                        )
  ;
  ;
                IN        NS        ns.domain.net.
  ;
  ;
  localhost           IN        A        127.0.0.1
  domain.net.        IN        A        54.15.15.94
  www                IN        A        54.15.15.95
  ns                    IN        A        54.15.15.94

  [root @linux]#vi /var/named/db.54.15.15
  $TTL 3h
  @                IN        SOA        ns.domain.net.        root.domain.net. ( 
                -->네임서버의 도메인네임.(ns라는 호스트로 지정했습니다.)
                -->root.domain.net. root라는 관리자의 메일주소를 뜻합니다.
                -->항상 마침표 . 를 찍어 주셔야 됩니다.
                1 ; serial
                3h ; refresh
                1h ; retry
                1w ; expire
                1h ; default_ttl
                )        
  ; 
  ;
                IN        NS        ns.domain.net.
  ;
  ;
  94        IN        PTR        ns.domain.net.
  95        IN        PTR        www.domain.net. -->해당아이피에 도메인 네임 할당.
                                        -->54.15.15.94는 네임서버의 아이피로 지정하고,
                                        -->54.15.15.95는 www 호스트의 아이피로 지정함.

6. 네임서버 실행
named라는 실행파일이 자신이 설치한 디렉토리의 bin디렉토리 아래에 존재 합니다.
(예:/usr/local/bind8/bin/named &)