Red Hat Training

A Red Hat training course is available for RHEL 8

9.15. RHEL 시스템 역할을 사용하여 firewalld 구성

방화벽 시스템 역할을 사용하여 여러 클라이언트에서 한 번에 firewalld 서비스 설정을 구성할 수 있습니다. 이 해결책:

  • 효율적인 입력 설정을 포함하는 인터페이스를 제공합니다.
  • 의도한 모든 firewalld 매개 변수를 한 위치에 유지합니다.

제어 노드에서 firewall 역할을 실행한 후 System Role은 firewalld 매개변수를 관리형 노드에 즉시 적용하고 재부팅 시에도 영구합니다.

9.15.1. 방화벽 RHEL 시스템 역할 소개

RHEL 시스템 역할은 Ansible 자동화 유틸리티의 콘텐츠 세트입니다. 이 콘텐츠는 Ansible 자동화 유틸리티와 함께 여러 시스템을 원격으로 관리할 수 있는 일관된 구성 인터페이스를 제공합니다.

RHEL 시스템 역할의 rhel-system-roles.firewall 역할이 firewalld 서비스의 자동 구성을 위해 도입되었습니다. rhel-system-roles 패키지에는 이 시스템 역할 및 참조 문서가 포함되어 있습니다.

자동 방식으로 하나 이상의 시스템에 firewalld 매개 변수를 적용하려면 플레이북에서 방화벽 시스템 역할 변수를 사용합니다. 플레이북은 텍스트 기반 YAML 형식으로 작성된 하나 이상의 플레이 목록입니다.

인벤토리 파일을 사용하여 Ansible에서 구성할 시스템 세트를 정의할 수 있습니다.

firewall 역할을 사용하면 다양한 firewalld 매개변수를 구성할 수 있습니다. 예를 들면 다음과 같습니다.

  • 영역.
  • 패킷을 허용해야 하는 서비스입니다.
  • 포트에 대한 트래픽 액세스 권한 부여, 거부 또는 삭제
  • 영역의 포트 또는 포트 범위 전달.

추가 리소스

9.15.2. RHEL 시스템 역할을 사용하여 firewalld 설정 재설정

방화벽 RHEL 시스템 역할을 사용하면 firewalld 설정을 기본 상태로 재설정할 수 있습니다. 이전:replaced 매개변수를 변수 목록에 추가하면 System Role(시스템 역할)이 기존 사용자 정의 설정을 모두 제거하고 firewalld 를 기본값으로 재설정합니다. 이전:replaced 매개변수를 다른 설정과 결합하면 방화벽 역할은 새 설정을 적용하기 전에 기존 설정을 모두 제거합니다.

Ansible 제어 노드에서 다음 절차를 수행합니다.

사전 요구 사항

  • 제어 노드와 관리형 노드가 준비되어 있습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리형 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 이 플레이북을 실행하려는 관리형 노드 또는 관리형 노드 그룹은 Ansible 인벤토리 파일에 나열됩니다.

절차

  1. 다음과 같은 내용과 함께 플레이북 파일(예: ~/reset-firewalld.yml )을 생성합니다. 

    ---
- name: Reset firewalld example
  hosts: managed-node-01.example.com
  tasks:
  - name: Reset firewalld
    include_role:
      name: rhel-system-roles.firewall

    vars:
      firewall:
        - previous: replaced

  2. 플레이북 구문을 확인합니다. 

    # ansible-playbook ~/configure-ethernet-device-with-ethtoolcoalesce-settings.yml --syntax-check

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. 플레이북을 실행합니다. 

    # ansible-playbook ~/reset-firewalld.yml

검증

  • 이 명령을 관리 노드에서 root 로 실행하여 모든 영역을 확인합니다. 

    # firewall-cmd --list-all-zones

추가 리소스

  • /usr/share/ansible/roles/rhel-system-roles.firewall/README.md

9.15.3. RHEL 시스템 역할을 사용하여 하나의 로컬 포트에서 다른 로컬 포트로 firewalld 에서 들어오는 트래픽 전달

firewall 역할을 사용하면 여러 관리 호스트에 지속적인 영향을 적용하여 firewalld 매개변수를 원격으로 구성할 수 있습니다.

Ansible 제어 노드에서 다음 절차를 수행합니다.

사전 요구 사항

  • 제어 노드와 관리형 노드가 준비되어 있습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리형 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 이 플레이북을 실행하려는 관리형 노드 또는 관리형 노드 그룹은 Ansible 인벤토리 파일에 나열됩니다.

절차

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/port_forwarding.yml )을 생성합니다. 

    ---
- name: Configure firewalld
  hosts: managed-node-01.example.com
  tasks:
  - name: Forward incoming traffic on port 8080 to 443
    include_role:
      name: rhel-system-roles.firewall

    vars:
      firewall:
        - { forward_port: 8080/tcp;443;, state: enabled, runtime: true, permanent: true }

  2. 플레이북 구문을 확인합니다. 

    # ansible-playbook ~/port_forwarding.yml --syntax-check

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. 플레이북을 실행합니다. 

    # ansible-playbook ~/port_forwarding.yml

검증

  • 관리 호스트에서 firewalld 설정을 표시합니다. 

    # firewall-cmd --list-forward-ports

추가 리소스

  • /usr/share/ansible/roles/rhel-system-roles.firewall/README.md

9.15.4. RHEL 시스템 역할을 사용하여 firewalld 에서 포트 관리

RHEL 방화벽 시스템 역할을 사용하여 들어오는 트래픽에 대해 로컬 방화벽에서 포트를 열거나 닫고 재부팅 후에도 새 구성을 유지할 수 있습니다. 예를 들어 HTTPS 서비스에 대한 들어오는 트래픽을 허용하도록 기본 영역을 구성할 수 있습니다.

Ansible 제어 노드에서 다음 절차를 수행합니다.

사전 요구 사항

  • 제어 노드와 관리형 노드가 준비되어 있습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리형 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 이 플레이북을 실행하려는 관리형 노드 또는 관리형 노드 그룹은 Ansible 인벤토리 파일에 나열됩니다.

절차

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/opening-a-port.yml )을 생성합니다. 

    ---
- name: Configure firewalld
  hosts: managed-node-01.example.com
  tasks:
  - name: Allow incoming HTTPS traffic to the local host
    include_role:
      name: rhel-system-roles.firewall

    vars:
      firewall:
        - port: 443/tcp
          service: http
          state: enabled
          runtime: true
          permanent: true

    permanent: true 옵션을 사용하면 재부팅 시 새 설정이 유지됩니다.

  2. 플레이북 구문을 확인합니다. 

    # ansible-playbook ~/opening-a-port.yml --syntax-check

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. 플레이북을 실행합니다. 

    # ansible-playbook ~/opening-a-port.yml

검증

  • 관리형 노드에서 HTTPS 서비스와 연결된 443/tcp 포트가 열려 있는지 확인합니다. 

    # firewall-cmd --list-ports
443/tcp

추가 리소스

  • /usr/share/ansible/roles/rhel-system-roles.firewall/README.md

9.15.5. RHEL 시스템 역할을 사용하여 firewalld DMZ 영역 구성

시스템 관리자는 방화벽 시스템 역할을 사용하여 enp1s0 인터페이스에서 dmz 영역을 구성하여 영역에 HTTPS 트래픽을 허용할 수 있습니다. 이렇게 하면 외부 사용자가 웹 서버에 액세스할 수 있습니다.

Ansible 제어 노드에서 다음 절차를 수행합니다.

사전 요구 사항

  • 제어 노드와 관리형 노드가 준비되어 있습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리형 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 이 플레이북을 실행하려는 관리형 노드 또는 관리형 노드 그룹은 Ansible 인벤토리 파일에 나열됩니다.

절차

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/configuring-a-dmz.yml )을 만듭니다. 

    ---
- name: Configure firewalld
  hosts: managed-node-01.example.com
  tasks:
  - name: Creating a DMZ with access to HTTPS port and masquerading for hosts in DMZ
    include_role:
      name: rhel-system-roles.firewall

    vars:
      firewall:
        - zone: dmz
          interface: enp1s0
          service: https
          state: enabled
          runtime: true
          permanent: true

  2. 플레이북 구문을 확인합니다. 

    # ansible-playbook ~/configuring-a-dmz.yml --syntax-check

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. 플레이북을 실행합니다. 

    # ansible-playbook ~/configuring-a-dmz.yml

검증

  • 관리형 노드에서 dmz 영역에 대한 자세한 정보를 확인합니다. 

    # firewall-cmd --zone=dmz --list-all
dmz (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp1s0
  sources:
  services: https ssh
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:

추가 리소스

  • /usr/share/ansible/roles/rhel-system-roles.firewall/README.md