쏭쎡

- NAT

- Network address translation 

- 공인 IP <-> 사설IP 

   사설 IP <-> 공인IP

   (이것은 케이스다)

   (정석은 네트워크 주소를 바꾸어 주는 것이다.)

- 네트워크 대역대를 변경 

192.168.0.1 (사설 IP)

   -> 49.170.128.64 

1) NAT를 설정할때 

2) access-list로 내부 IP를 리스트로 작성 

3) ip NAT POOL로 POOL을 생성 

    START IP , END IP 

Network

static NAT늘 POOL이 필요없다. 그러나 내부 NAT를 사용하는 호스트는 

여러 대가 존재하기 때문에 1:1NAT는 거의 사용하지 않는다.

4) IP NAT inside source 

    list 번호 pool 이름 

    (overload : 내부의 여러 IP가 하나의 공인 IP를  사용할 때)

    시스코에서는 다른말로 part 라고 한다.

방화벽은 port별로 다르게 IP를 지정. 

하드웨어 NAT

소프트웨어 NAT

1) 라우터에서 사용하는 NAT는 대부분 소프트웨어 NAT 

    (OS에서 NAT 기능을 올린다.)

- resource를 많이 사용

   (메모리를 사용)

- 패킷을 CPU가 읽고 IP 변환 시켜서 보내고 

  하는 시간적 딜레이가 발생 

  (1G정도의 속도로 들어오면 900M정도로 흐름 = NAT 성능 90% )   

2) 하드웨어 NAT

: 공유기, 단말, 방화벽등에서 많이 사용.

: NAT 칩을 사용.

: resource를 적게 잡아먹고 

  딜레이도 적게 발생한다. 

3) port-frowarding 

   ->외부에서 내부로 접근불가능 

   -> 내부에 있는 서버등을 외부에서도 사용할 수 있게 하는 것 

   -> 서버가 있는데 8080 

   -> NAT에서 포트포워딩 

        내부 IP 가 210.1.1.1 서버 

외부 IP가  211.117.114.39 

포트포워딩 설정 

211.117.114.39:8080 

 -> 210.1.1.1:80

8080을 입력하면 내부분 210.1.1.1로 접근하게 됨. 

-> 다른 사람이 추론하지 못하도록 포트번호를 모르는 번호로 사용함. 

     8080은 사용하지 않는다. 3771과 같은 모르는 포트번호를 사용. 

DMZ - 모든 포트가 열려있는 영역 

alg - 특정 포트번호가 있는데 끈김없거나/차단을 하는 기능. NAT로 나가지 않는다. 

        방화벽이 생긴 이유로 사용하지 않는다. 

MPLS => lable 번호를 보고 packet forwarding. 라우팅 테이블 참조하지 않는다. 

nat 설정 명령어 

access-list 1 permit 192.168.1.0 0.0.0.255 

ip nat pool 10.1.1.1 10.1.1.1 255.255.255.252 

ip nat inside source list 1 pool nat_pool overload 

각  interface gi/01, interface gi 0/0에 각각 

ip nat inside

ip nat outside 

debug ip icmp 

=>  ping을 보낼 라우터에 위와 같이 설정. 

=> DST가 10.x.x.x로 나와야 한다. 

=> NAT는 사설IP를 공인 IP로 바꾸는 기술이다. 

=> 해당 라우터는 이미 바꾸어 나온 IP 

=> 따라서 10.대가 나온다. 그러나 192.168.대가 나온다면 잘못 설정하여 변환이 안되었다는 것을 의미 .

show ip nat translatin 

가운데 라우터 내부ip를 외부ip로 변경가능한 라우터에서 조회. 여기서는 가운데 라우터이다.

와이어 샤크로 패킷 pcap파일을 열어본 모습이다.

ping이다. icmp

하지만 잘보면 ping메시지가 유난히 길다. 공격자가 불법 채팅프로그램으로 데이터를 붙여 원하는 정보를 볼수 있게 

만들었다. ICMP를 가장한 공격? 이다. 아래내용은 대충 계좌에 돈을 보는 내용인것 같다. 

아래내용은 다른 패킷. 보면은 전부 TCP syn 패킷만 와장창 찍혀있다. 그 유명한 syn flooding이다!!!

아래는 http 패킷을 잡아서 내용를 보든 것. ID와 패스워드가 고스란히 담겨 있다. 

포트스캐닝. 포트스캐닝은 특정 포트가 열려있는지 확인하는 것. 아래를 보며 139번이 열려있는지

확인하려고 한것같다. 하지만 아무러 응답이 업어 이 139번은 현재 닫혀있다는 것을 추론할 수 있다.

///////////////////////////////////////////////////////////////////////////////////////////////////////////////////

다음은 centOS 리눅스 

vi /etc/inittab

이곳에서 run level 수정 가능. (이것도 리눅스마다 다르다)

run level이다. 리눅스마다 조금씩 run level이 다른것도 있다. 특히난 1, 4같은 경우 여기서는 안쓴다.

다른데는 사용할 수 있다. 

아래 밑줄친것을 보면 run level 5를 사용한 것을 볼 수 있다. 

위의 파일을 3으로 수정하고 재부팅하면 아래와 같이 검은 화면만 나온다. 그리고 startx라고 입력하면 이전상태인 rc5로 부팅된다. x는 x윈도우를 뜻하며, 쉽게 말해서 리눅스에서 나오는 윈도우 인터페이스라고 생각하면 된다.

아래는 static ip 설정하는 것.

디렉토리가 어렵다.

vi /etc/sysconf/network-script/ifcfg-eth0

파일이다. 아래와 같이 DHCP부분을 주석처리하고 설정하면 된다. 

////

yum 명령어 

BSD는 pkg, 우분투(데비안 계열)는 apt-get, CentOs(red-hat계열) yum

패키지, 서비스를 설치시 사용되는 명령어.

yum search apache | less(파이프(|)  less는 너무 많아서 page별로 보기 위함)

apache를 설치한건데 어떤이름인지 모를때 search 한다. 

apache 파일 디렉토리

/etc/httpd/

group list도 볼 수 있다. 

crontab 명령어 보기 

crontab은 작업 스케줄러이다. 사용자가 원하는 시간과 날짜를 설정하여 주기적으로 실행이 가능하다.

아래에는 crontab 명령어 구조가 잘 나와있다. 

vi /etc/sysconf/network

tcp dump 시나리오 

1. 10.1.0.1에 index.html을 다운받는동안 캡쳐하기 

2. 10.1.0.10에 존재하는 기본문서인 index.html을 fetch명령어로 다운.

tcpdump icmp(ping)을 캡쳐 실습

아래와 같이 ping을 보낸다.

ping을 보낸 source IP와 destination IP를 확인할 수 있으며, echo request/reply도 확인된다. 

명령어는 tcpdump icmp 혹은 tcpdump src 10.1.0.20 && icmp라고 입력해도 된다. 

▶ 분산파일시스템 (DFS)에 의한 리소스 관리 : 공유폴더 관리 TCO절감 (업무지원)

조직은 시간이 지남에 따라 성장을 하게 되고, 네트워크의 규모도  커진다.

관리해야할 컴퓨터의 수 또한 증가하게 된다. 일반 사용자들이 다음과 같은 불만이

증가하고 있다.

<불평> 느려진다. 내가 찾을려고 하는 데이터가 어디에 있는지 모르겠다.

관리자가 파일의 실제 네트워크 위치와 관계없이 폴더 및 파일의 논리적 보기를 

만들 수 있는 메커니즘을 제공한다.

분산파일시스템 실습 

DFS 네임스페이스 추가

나중에 자동복제 기능을 설정하기 위하연 밑에 도메이 기반 네임스페이스를 체크확인.

아래 빨간줄이 DFS시스템 이름이 된다.

캡쳐를 못하였지만, 다음-다음에서 해당 공유폴더를 지정하는 창이 나온다.

추가-찾아보기-"SRV1"로 입력하고 공유폴더관리- doc1(해당폴더)을 클릭하여 추가한다.

나머지 doc2, doc3도 각각 "SRV2", "SRV3"에서 공유폴더관리를 클릭하여 추가한다.

관리자 - DFS관리에 들어가면 각각 doc1, doc2. doc3이 보인다. 

각각 이름도 바꾸어 본다. 

아래와 같이 실행하면 된다. 

DFS 복제 실습 

서버 2, 3에서 wwwroot를 공유하여 복제 실습한다.

아래와 같이 역할을 추가.

이름지정 

추가 

서버2와 서버3을 추가함. 

작업할 구성원 선택. 여기서는 서버2로 작업을 하였다. 그래서 서버2로 설정. 

복제할 폴더. 서버2에서 작업할 폴더를 복제하는 디렉토리를 설정.

이제는 복사받아야할 곳을 설정하는 거다. 여기서는 서버3가 서버2의 웹 작업을 복사받으므로

서버3를 설정. 

사용을 설정하고 복사받을 폴더를 설정. 

확인 - 다음에 그림에는 없지만 설치가 성공적으로 되었다는 초록색이 다 떠야 된다.

서버2에서 작업

서버3에서 복제된 모습. 시간이 몇분 걸리니 인내심을 갖자!!

실행된 모습 

cmd 창을 관리자 모드로 실행한 뒤, 자신의 라우팅 테이블을 참고하여 게이트 웨이 주소를 확인한 뒤,

삭제해본다. 아래그림처럼 ping이 안간다. (8.8.8.8은 LG U+ )

인터넷도 안됨. 게이트웨이 주소가 라우팅 테이블에 없기 때문이다. 

다시 추가하자. 

현재 로그인되어있는 계정에 lock을 걸어도 곧바로 적용되지 않는다. 그것을 적용할 수 있게 루트에서 강제로 kill을 해준다.

먼저, show processlist로 process를 조회하여 해당 번호를 kill한다.

접속 해있던 계정이 서버에서 locked되었다면서 아무것도 못한다.

아래는 그냥 참고용. 바로 생성된 테이블을 조회하는 명령어.

alter 명령어를 이용하여 table drop, insert 등이 가능하다. 

아래는 name이라는 tuple을 drop하였다. 

alter ~ change로 튜플명을 변경도 가능하다.

아래는 auto_increment 설정이다. 

primary key가 필수이며, 해당 데이터를 insert시킬때마다, 자동으로 +1 증가 해주는 기능이다. 

심볼릭 링크 만들기 

생성된 모습 

원본을 지우면 soft link는 실행이 되지 않는다.

hard link는 양방향 링크이다. 그래서 이전에 링크하였던 원본의 내용을 따로 복제하기 때문에 워본이 지워지더라도

지정된 링크 파일을 열 수 있는 것이다. 그러나 보안 문제와 관련해서 사용을 지양한다.

파일 리소스 권한 

먼저 서버관리자 - 밑에 역할 서비스 추가 

파일 서버 리소스 관리자 선택 후 설치 

설치 완료 후 할당량 만들기 

경로를 지정하고 할당 용량을 제한한다.

     - 파일 차단 : 파일서버에 업로드할 수 있는 용량 뿐만 아니라, 파일의 형식도 제한할 수 있다.

               그림이나 동여상과 같이 용량이 큰 팡일의 업로드를 차단할 수 있다.

           할당량 제한은 업로드하는 파일의 크기를 제한하는 것이고, 파일 차단은 용량과는 

           관계는 없고 업로드하는 파일의 종류에 따라 전송을 제한하는 기능이다.

- 적극적 차단 

    - 소극적 차단

- 보고서 생성 

파일차단 설정

저장소 보고서 관리 우클릭- 새 보고서 작성 

만들고 나서 지금 실행을 누른다.

아래 그림처럼 "보고서가 생성될때까지 ~~" 체크

파일 차단한 곳에 엑세스가 거부될 때마다 아래 그림처럼 보고서가 뜬다.

네트워크 드라이브 연결 설정 

공유폴더에 '$'를 붙인다. 히든 공유폴더로서 숨겨져 있어서 보이지 않는다.

시작- 네트워크 우클릭 - 네트워크 드라이블 연결 클릭

연결한 폴더를 설정. 

아래 그림처럼 생성된다. 위 그림은 Y로 되어있으나, 실제로는 K로 생성하여 아래 그림처럼 되었다.

'sam'@'localhost 패스워드를 변경. 

아래 그림처럼 패스워드를 user()함수를 통해서 바로 바꾸는것도 가능하다.

select current_role();

현재 role을 조회하는 것. 아무것도 설정안해서 없다. 

set role 'dev';를 실행

=> 다시 조회하면 'dev''@'%'가 생성 

set role default;

=> default로 돌리는것. 여기서는 처음에 아무것도 없고 딱히, default가 지정이 안되어 있으므로 

   아무것도 안나온다.

정적 라이브러리 실습