iptables 에 GeoIP를 적용해보자.

Rockylinux 8.x 에서는 iptables geoip module 을 제공하고 있지 않고 있어 설치 방법을 기록한다.

Rockylinux 에서 iptables 외 firewalld, nftables 를 제공하고 있지만, 개인적으로 가장 익숙한 iptables에 geoip를 적용하는 방법을 알아보도록 한다.

iptables geoip module Install

dnf 레포지토리 추가

앞서 말한것처럼 Rockylinux 기본 레포지토리에서는 페키지를 제공하고 있지 않아 epelrpmfusion 레포지토리를 추가해준다.

rpmfusion은 RHEL 계열 배포판에서 제공되지 않는 추가 패키지를 제공하는 저장소이다. 비상업적 패키지를 제공하는 rpmfusion-free 와 라이선스 제한이 있는 rpmfusion-nonfree 저장소를 제공해준다. 보다 자세한 내용은 https://rpmfusion.org/ 내용 확인을 해보자.

# epel 레포지토리 설치
sudo dnf install epel-release

# rpmfusion 레포지토리 추가
sudo dnf install --nogpgcheck https://mirrors.rpmfusion.org/free/el/rpmfusion-free-release-$(rpm -E %rhel).noarch.rpm https://mirrors.rpmfusion.org/nonfree/el/rpmfusion-nonfree-release-$(rpm -E %rhel).noarch.rpm

# powertools 레포지토리 활성화
sudo dnf config-manager --enable powertools

iptables 확장 모듈 설치

xtables-addons는 geoip 외 추가 기능이 있다.

  1. xt_geoip: IP 주소의 지리적 위치를 확인하는 기능
  2. xt_quota2: 사용자 또는 그룹의 네트워크 사용량을 제한하는 기능
  3. xt_recent: 최근에 연결한 IP 주소를 추적하고, 일정 시간 동안 연결을 차단하는 기능
  4. xt_TARPIT: TCP 연결을 늦추는 기능
  5. xt_osf: OS Fingerprinting을 수행하여, 네트워크 트래픽을 분석하는 기능
# iptables 확장 모률 설치
## xtables-addons는 xt_geoip,xt_quota2,xt_recent,xt_TARPIT,xt_osf 기능을 제공한다.

sudo dnf install xtables-addons

geoip 적용

xt_geoip_dl 이라는 명령어로 csv 데이터베이스를 다운로드 후 xt_geoip_build 를 사용해서 csv 파일 dat 파일로 변환해준다.

# GeoIP DB 다운로드
sudo /usr/libexec/xtables-addons/xt_geoip_dl

# GeoIP DB 적용(오류시 perl 모듈을 설치 필요)
sudo /usr/libexec/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
xt_geoip_build 오류시

perl 모듈이 설치되어 있지 않았을때. 오류발생을 해결하기 위해선 perl cpanm 을 사용해서 perl 모듈을 설치해준다.

cpanm 은 perl 의 모듈을 설치하는 CPAN의 클라이언트로 모듈 설치시 필요한 의존성을 자동으로 처리해준다.

# 오류 메시지

Can't locate Net/CIDR/Lite.pm in @INC (you may need to install the Net::CIDR::Lite module) (@INC contains: /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5) at /usr/libexec/xtables-addons/xt_geoip_build line 9.
BEGIN failed--compilation aborted at /usr/libexec/xtables-addons/xt_geoip_build line 9.

Can't locate Text/CSV_XS.pm in @INC (you may need to install the Text::CSV_XS module) (@INC contains: /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5) at /usr/libexec/xtables-addons/xt_geoip_build line 12.
BEGIN failed--compilation aborted at /usr/libexec/xtables-addons/xt_geoip_build line 12.
# xt_geoip_build 사용을 위해 perl 모듈 설치
# perl cpanm 설치
sudo dnf install perl-App-cpanminus

# perl module 설치
sudo cpanm Net::CIDR::Lite
sudo cpanm Text::CSV_XS

iptables 에서 사용하는 방법

# iptables GeoIP 적용예시
sudo iptables -A SSHD -p tcp --dport 22 -m geoip --src-cc KR -j ACCEPT

LVM Cache(dm-cache)

시작

NAS 대용으로 사용중인 서버(미니PC)의 디스크가 부족하게 되어 디스크 증설이 필요했지만 2.5인치 SATA 와 NVME SSD 한개 씩만 지원하는 하드웨어 스팩 덕분에 USB로 쉽게 구성할 수 있는 테라마스터 D2-310 과 WD RED 3TB(WD30EFRX) 하드디스크 2개를 Raid 0으로 디스크 증설을 완료 했지만,

USB 인터페이스(USB 3.1 5Gbps)의 한계 때문인지 5400RPM의 낮은 성능의 디스크 때문인지 SSD를 메인 저장소로 사용했들때 보다 전송속도가 낮아 LVM Cache 적용하게 되었다.

환경

OS : Rocky Linux 8.7 (Green Obsidian)

Disk : sda 5.5TB(D2-310 Raid 0), nvme0n1 2TB

LVM Cache 적용

PV(Physical Volume)설정 과 및 VG(Volume Group) 생성

pvcreate /dev/sda1
pvcreate /dev/nvme0n1p1
vgcreate VG /dev/sda1 /dev/nvme0n1p1

LV(Logical Volume) 생성

#HDD Disk Logical Volume
lvcreate -l 100%FREE -n lv_data1 VG1 /dev/sda
#SSD Cache Memta Volume
lvcreate -L 8G -n lv_cache_meta1 VG1 /dev/nvme0n1p1
#SSD Cache Volume
lvcreate -l 234370 -n lv_cache_data1 VG1 /dev/nvme0n1p1

LVM Cache 설정

# Cache 볼륨과 Meta 볼륨을 결함으로 Cache Pool 을 설정.
# Writethrough 및 Writeback 을 설정 한다.
lvconvert --type cache-pool --cachemode writethrough --poolmetadata VG/lv_cache_meta1 vg1/lv_cache_data1
# Data Volume(실제 데이터 볼륨)을 Cache Pool 과 결함하여 Cache 적용
lvconvert --type cache --cachepool VG/lv_cache_data1 VG/lv_data1
  • Cachemode
    1. writethrough
      • 데이터를 쓸때 캐쉬를 사용지 않는다.
    2. writeback
      • 데이터를 쓸때 캐쉬에 먼저 저장 후 디스크에 저장한다.

그리고.

지금 까지 적용한 내용은 RHEL 6를 메뉴얼을 바탕으로 작성되었다.

RHEL 7 메뉴얼 에서는 Cache pool 생성을 “lvcreate” 단계에서 완료 한다.

LVM Cache RHEL 7.1 부터 정식 지원한다.

더 자세한 내용은 아래 참고 사이트를 확인해본다.