(in-path)방화벽
랜선자체에서 ------------>(out-of-path)여기서 패킷 빼내는 것: tapping
(in-path)라우터
(in-path)스위치->마지막 포트에 (미러링 mirroring) (out-of-path)노트북 꽂으면 패킷 다 볼 수 있다.
호스트 호스트
pcap(out-of-path)
arp_spoofing(in-path)
----------------------------------------------------------------------------------
iptables
로컬머신
패킷이 밖으로 나오고(OUTPUT) 들어오는 패킷(INPUT)이 있다.
그리고 흘러다니는 패킷이 있다. (FORWARD)
iptable에서 관리하는 패킷은 OUTPUT, INPUT, FORWARD로 총 3종류!
밖으로 나가는 icmp 패킷을 차단하고 싶으면
iptables -A OUTPUT -p icmp -j DROP
여기서 p는 프로토콜
iptable은 커널에 들어가 있다.
iptables -L
iptables -F 한꺼번에 다 지우기
모든 tcp 차단 대신 80번만 열어놓으면
iptables -A OUTPUT -p tcp -j DROP
iptables -A OUTPUT -p tcp -j --dport 80 ACCEPT
but 위부터 한다!
iptables -A OUTPUT -p tcp -j --dport 80 ACCEPT
iptables -A OUTPUT -p tcp -j DROP
음성통화할때 사용됨
rmnet0->LTE가 사용하는 인터페이스
rmnet1->음성통화가 사용하는 인터페이스
통신을 하는데
gilgil.net과 통신하는것을 막으려고 한다.
http 부분에
test.gilgil.net
-j DROP
-j ACCEPT
-j ACCEPT
-q
NFQUEUE
가상의 큐
가상의 큐로 패킷을 전달 -> 패킷을 빼올 수 있어서 accept/drop을 결정할 수 있다.
verdict(판결을 내리다)
nfq_set_verdict ->NF_ACCEPT, NF_DROP
nfq_get_payload(패킷의 시작위치, 패킷의 크기)
->ipheader부터 잡힌다.
data부분에서 host찾아서 test.gilgi.net일 경우 차단( /r 빼내고_
dump 수정! tcp, ip...주요정보 출력