Ben's

for i in `cat LIST2` do iptables -t nat -A PREROUTING -d $i -p tcp --dport 3389 -j DNAT --to-destination $i:4989 done

-j, --jump target This specifies the target of the rule; i.e., what to do if the packet matches it. The target can be a user-defined chain (other than the one this rule is in), one of the special builtin targets which decide the fate of the packet immediately, or an extension (see EXTENSIONS below). If this option is omitted in a rule (and -g is not used), then matching the rule will have no eff..

■ 참고링크 http://netfilter.org/projects/conntrack-tools/downloads.html http://translate.google.co.kr/translate?hl=ko&langpair=en%7Cko&u=http://timanovsky.wordpress.com/2009/04/10/tuning-linux-firewall-connection-tracker-ip_conntrack/ http://firstboos.tistory.com/entry/snort-inline-%EC%A0%95%EB%A6%AC-%EC%8B%9C%EC%9E%91 http://ubuntuforums.org/showthread.php?t=1688263 http://elenoa.tistory.com/101 ht..

* 일반 iptables 의 STRING match 모듈은 웹로그에 찍히는 패턴만 등록이 가능하기 때문에 방어가 제한적입니다. 그러나 아래와 같은 경우에서 hex-string 모듈을 이용하면 방어가 가능합니다. 61.98.219.208 - - [23/Jun/2009:11:55:26 +0900] "GET /images/700.exe HTTP/1.1" 403 300 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)" T 61.98.219.208:38333 -> xxx.xxx.xxx.xx:80 [AP] GET /images/700.exe HTTP/1.1..Accept: */*..Cache-Control: no-cache..Ryeol-Magic: My Magic..

1. people.netfilter.org/peejix/geoip/database 에서 geoipdb.bin과 geoipdb.idx 파일 다운로드 2. /var/geoip 디렉토리 생성후 위에서 다운받은 두개 파일을 여기에 복사한다. - geoipdb.bin: 국가별 ip 대역에 대한 바이너리 포맷의 테이터 - geoipdb.idx: 인덱스 파일 3. geoip 를 사용하기 위해 iptables와 커널 패치 - /usr/src/linux 또는 다른 위치에 커널 소스가 있는지 확인 (새로 커널을 업데이트 하려고 할때는 /usr/src/linux 에 커널 소스를 위치시키면 된다) - iptables 소스 버전 다운로드 wget http://iptables.org/projects/iptables/files/i..