본문 바로가기

ETC/자격증

[리눅스마스터]제1501회 리눅스마스터 1급 2차 시험 작업식 풀이 2

반응형

14. 다음은 DNS 서버 설정 파일의 일부이다. 아래 조건을 참조하여 ( 괄호 ) 안에 알맞은 내용을 적으시오.(12점)

$TTL 86400
@ IN SOA ns.example.com. root.example.com. (
		 20150426
		 ( ① )
		 ( ② )
		 ( ③ )
		 1D
)
example.com. IN NS ns.example.com.
ns 			 IN A 192.168.0.100

<조 건>
- ① : 보조 네임서버가 주 네임서버에 접속하는 시간은 3시간이다.
- ② : 접속 실패 시 다시 시도할 시간 간격은 15분이다.
- ③ : 주 네임서버에 데이터가 없다면 1주 이후에 지워진다.

 

zone 파일 확인>

[root@server1 ~]# cd /var/named
[root@server1 named]# ls -la
total 24
drwxrwx--T.  5 root  named 4096 Mar 21 17:28 .
drwxr-xr-x. 24 root  root  4096 Mar 21 10:18 ..
drwxrwx---.  2 named named    6 Feb 24 02:17 data
drwxrwx---.  2 named named    6 Feb 24 02:17 dynamic
-rw-r--r--.  1 root  root     0 Mar 21 17:28 example.com.zone
-rw-r-----.  1 root  named 2253 Apr  5  2018 named.ca
-rw-r-----.  1 root  named  152 Dec 15  2009 named.empty
-rw-r-----.  1 root  named  152 Jun 21  2007 named.localhost
-rw-r-----.  1 root  named  168 Dec 15  2009 named.loopback
drwxrwx---.  2 named named    6 Feb 24 02:17 slaves

 

[root@server1 named]# vi example.com.zone

 

<SOA 레코드>

serial : 일종의 일련번호로 보통 "YYYYMMDDNN" 형식으로 기입하며 NN은 수정횟수를 말한다.
refresh : 2차 DNS 서버가 정보를 업데이트 하기 위해 주 네임 서버를 체크하는 주기.
          일반 숫자로 입력할 경우 초를 나타낸다.
retry : 2차 DNS 서버가 주 네임서버로 접속실패 했을 경우 재시도하는 주기
        일반 숫자로 입력할 경우 초를 나타낸다.
expire : 2차 DNS 서버가 주 네임 서버로 접근에 실패해서 재시도를 하는 경우, 만기되는 시간을 지정한다.
minimum : TTL값과 동일하며 zone파일 정보의 최소 보관 시간을 설정한다.

 

① 10800

② 900

③ 604800

 

15. 다음은 DHCP 서버의 주 설정 파일 내용의 일부이다. 아래 조건에 맞는 적당한 내용을 ( 괄호 )안에 적으시오.(12점)

ddns-update-style interim;
ignore client-updates;
subnet 192.168.0.0 netmask 255.255.255.0 {
option ( ① );
option ( ② );
option ( ③ );
option ( ④ );
option time-offset -18000;
option default-lease-time 21600;

<조 건>
- ① : DHCP 클라이언트에게 할당되는 게이트웨이 정보는 192.168.0.1 이다.
- ② : DHCP 클라이언트에게 할당되는 서브넷 마스크 정보는 255.255.255.0 이다.
- ③ : DHCP 클라이언트에게 할당되는 도메인 네임은 example.com 이다.
- ④ : DHCP 클라이언트에게 할당되는 도메인 네임 서버 IP 주소는 192.168.1.1이다.

 

[root@server1 ~]# find / -name dhcpd.conf
/etc/dhcp/dhcpd.conf

 

[root@server1 ~]# vi /etc/dhcp/dhcpd.conf

 

<dhcpd.conf>
- range : 클라이언트에 할당할 IP의 범위를 지정한다.
- range dynamic-bootp : DHCP 클라이언트 뿐만 아니라 BOOTP 클라이언트도 같이 할당한다.
- domain-name : 도메인 명을 지정한다.
- domain-name-servers : 네임 서버를 지정한다.
- routers : 게이트웨이 주소를 지정한다.
- broadcast-address : 브로드캐스트 주소를 지정한다.
- default-lease-time : 임대요청 만료시간을 초단위로 지정한다.
- max-lease-time : 클라이언트가 가지고 IP를 가지고 있을 최대 시간을 초단위로 지정한다.

 

① routers 192.168.0.1

② subnet-mask 255.255.255.0

③ domain-name "example.com"

④ domain-name-servers 192.168.1.1

 

16. 시스템 관리자 홍길동은 iptables을 이용하여 보안을 위해 포워딩(forwarding) 정책을 다음의 조건에 따라 변경하려고 한다. ( 괄호 ) 안에 내용을 적으시오.(12점)

# iptables ( ① ) FORWARD DROP
# iptables ( ② ) FORWARD ( ③ ) eth1 ( ④ ) ACCEPT

<조 건>
- 패킷은 거부 메시지 없이 무조건 거절한다. (DROP)
- 두 번째 이더넷카드(eth1)로 들어오는 패킷인 경우에만 포워딩을 허가한다.
- 어떠한 방화벽도 설정되어 있지 않고 커널에서 포워딩을 허가한 상태이다.

 

# iptables  [-t 테이블] [액션] [체인] [매치] [-j 타겟]

 

[root@server1 ~]# find / -name iptables
/etc/sysconfig/iptables
/usr/sbin/iptables
/usr/share/bash-completion/completions/iptables
/usr/libexec/initscripts/legacy-actions/iptables
/usr/libexec/iptables

 

[root@server1 ~]# vi /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

 

<액션>
-A : APPEND : 정책 추가
-I : INSERT : 정책 삽입
-D : DELETE : 정책 삭제
-R : REPLACE : 정책 교체
-F : FLUSH : 모든 정책 삭제
-P : POLICY : 기본 정책을 설정
-L : LIST : 정책 나열

<매치>
-s : 출발지 매칭. 도메인, IP 주소, 넷마스크 값을 이용하여 표기(––source, ––src)
-d : 목적지 매칭. 도메인, IP 주소, 넷마스크 값을 이용하여 표기(––destination, ––dst)
-p : 프로토콜과 매칭. TCP, UDP, ICMP 와 같은 이름을 사용하고 대소문자는 구분하지 않음
-i : 입력 인터페이스와 매칭(––in-interface)
-o : 출력 인터페이스와 매칭(––out-interface)
-j : 매치되는 패킷을 어떻게 처리할지 지정 (--jump)

<타켓>
- ACCEPT : 패킷을 허용한다.
- DROP : 패킷을 버린다(패킷이 전송된 적이 없던 것처럼)
- REJECT : 패킷을 버리고 이와 동시에 적절한 응답 패킷을 전송한다.(icmp-port-unreachable)
- LOG : 패킷을 syslog에 기록한다.
- SNAT --to [주소] : 소스 IP를 [변환(NAT)|NAT]한다.
- DNAT --to [주소] : 목적지 IP를 변환(NAT)한다.
- RETURN : 호출 체인 내에서 패킷 처리를 계속한다.

 

① -P

② -A

③ -i

④ -j

반응형