1.8. firewalld를 사용하여 네트워크 트래픽 제어

firewalld 패키지는 많은 수의 사전 정의된 서비스 파일을 설치하고 더 많은 서비스를 추가하거나 사용자 지정할 수 있습니다. 그런 다음 이러한 서비스 정의를 사용하여 사용하는 프로토콜과 포트 번호를 몰라도 서비스에 대한 포트를 열거나 닫을 수 있습니다.

1.8.1. CLI를 사용하여 사전 정의된 서비스로 트래픽 제어

트래픽을 제어하는 가장 간단한 방법은 사전 정의된 서비스를 firewalld 에 추가하는 것입니다. 이렇게 하면 필요한 모든 포트를 열고 서비스 정의 파일에 따라 다른 설정을 수정합니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

절차

  1. firewalld 의 서비스가 아직 허용되지 않았는지 확인합니다. 

    # firewall-cmd --list-services
ssh dhcpv6-client

    명령은 기본 영역에서 활성화된 서비스를 나열합니다.

  2. firewalld 에서 사전 정의된 모든 서비스를 나열합니다. 

    # firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...

    명령은 기본 영역에 사용 가능한 서비스 목록을 표시합니다.

  3. firewalld 에서 허용하는 서비스 목록에 서비스를 추가합니다. 

    # firewall-cmd --add-service=<service_name>

    명령은 지정된 서비스를 기본 영역에 추가합니다.

  4. 새 설정을 영구적으로 만듭니다. 

    # firewall-cmd --runtime-to-permanent

    명령은 이러한 런타임 변경 사항을 방화벽의 영구 구성에 적용합니다. 기본적으로 이러한 변경 사항은 기본 영역의 구성에 적용됩니다.

검증

  1. 모든 영구 방화벽 규칙을 나열합니다. 

    # firewall-cmd --list-all --permanent
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

    명령은 기본 방화벽 영역(공용)의 영구 방화벽 규칙을 사용하여 전체 구성을 표시합니다.

  2. firewalld 서비스의 영구 구성의 유효성을 확인합니다. 

    # firewall-cmd --check-config
success

    영구 구성이 유효하지 않으면 명령에서 추가 세부 정보와 함께 오류를 반환합니다. 

    # firewall-cmd --check-config
Error: INVALID_PROTOCOL: 'public.xml': 'tcpx' not from {'tcp'|'udp'|'sctp'|'dccp'}

    영구 구성 파일을 수동으로 검사하여 설정을 확인할 수도 있습니다. 기본 설정 파일은 /etc/firewalld/firewalld.conf 입니다. 영역별 구성 파일은 /etc/firewalld/zones/ 디렉터리에 있으며 정책은 /etc/firewalld/policies/ 디렉터리에 있습니다.

1.8.2. GUI를 사용하여 사전 정의된 서비스로 트래픽 제어

그래픽 사용자 인터페이스를 사용하여 사전 정의된 서비스로 네트워크 트래픽을 제어할 수 있습니다. 방화벽 구성 애플리케이션은 명령줄 유틸리티에 대한 액세스 가능하고 사용자에게 친숙한 대안을 제공합니다.

사전 요구 사항

  • firewall-config 패키지를 설치했습니다.
  • firewalld 서비스가 실행 중입니다.

절차

  1. 사전 정의 또는 사용자 지정 서비스를 활성화하거나 비활성화하려면 다음을 수행합니다.

    1. firewall-config 유틸리티를 시작하고 서비스를 구성할 네트워크 영역을 선택합니다.
    2. 영역 탭을 선택한 다음 아래의 서비스 탭을 선택합니다.
    3. 신뢰할 각 서비스 유형에 대한 확인란을 선택하거나 선택한 영역에서 서비스를 차단하는 확인란을 지웁니다.

  2. 서비스를 편집하려면 다음을 수행합니다.

    1. firewall-config 유틸리티를 시작합니다.
    2. Configuration (구성)이라는 레이블이 지정된 메뉴에서 Permanent (영구)를 선택합니다. 서비스 창 하단에 추가 아이콘 및 메뉴 버튼이 나타납니다.
    3. 구성할 서비스를 선택합니다.

Ports,Protocols, Source Port 탭을 사용하면 선택한 서비스에 대한 포트, 프로토콜 및 소스 포트를 추가, 변경 및 제거할 수 있습니다. 모듈 탭은 Netfilter 도우미 모듈을 구성하는 데 사용됩니다. 대상 탭에서는 트래픽을 특정 대상 주소 및 인터넷 프로토콜(IPv4 또는 IPv6)으로 제한할 수 있습니다.

참고

런타임 모드에서는 서비스 설정을 변경할 수 없습니다.

검증

  • Super 키를 눌러 활동 개요를 입력합니다.

  • Firewall Configuration 유틸리티를 선택합니다.

    • firewall-config 명령을 입력하여 명령줄을 사용하여 그래픽 방화벽 구성 유틸리티를 시작할 수도 있습니다.

  • 방화벽 구성 목록을 확인합니다.

    방화벽 구성

방화벽 구성 창이 열립니다. 이 명령은 일반 사용자로 실행할 수 있지만 때때로 관리자 암호를 입력하라는 메시지가 표시됩니다.

1.8.3. 보안 웹 서버 호스팅을 허용하도록 firewalld 구성

포트는 운영 체제가 네트워크 트래픽을 수신 및 구분하고 시스템 서비스로 전달할 수 있는 논리 서비스입니다. 시스템 서비스는 포트에서 수신 대기하고 이 포트로 들어오는 모든 트래픽을 대기하는 데몬으로 표시됩니다.

일반적으로 시스템 서비스는 해당 서비스를 위해 예약된 표준 포트에서 수신 대기합니다. 예를 들어 httpd 데몬은 포트 80에서 수신 대기합니다. 그러나 시스템 관리자는 서비스 이름 대신 포트 번호를 직접 지정할 수 있습니다.

firewalld 서비스를 사용하여 데이터를 호스팅하기 위해 보안 웹 서버에 대한 액세스를 구성할 수 있습니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

절차

  1. 현재 활성화된 방화벽 영역을 확인합니다. 

    # firewall-cmd --get-active-zones

  2. 적절한 영역에 HTTPS 서비스를 추가합니다. 

    # firewall-cmd --zone=<zone_name> --add-service=https --permanent

  3. 방화벽 구성을 다시 로드합니다. 

    # firewall-cmd --reload

검증

  1. firewalld 에서 포트가 열려 있는지 확인합니다.

    • 포트 번호를 지정하여 포트를 연 경우 다음을 입력합니다. 

      # firewall-cmd --zone=<zone_name> --list-all

    • 서비스 정의를 지정하여 포트를 연 경우 다음을 입력합니다. 

      # firewall-cmd --zone=<zone_name> --list-services

1.8.4. 네트워크 보안을 강화하기 위해 사용되지 않거나 불필요한 포트 종료

열려 있는 포트가 더 이상 필요하지 않으면 firewalld 유틸리티를 사용하여 이를 종료할 수 있습니다.

중요

불필요한 모든 포트를 닫고 잠재적인 공격 면적을 줄이고 무단 액세스 또는 취약점 악용 위험을 최소화합니다.

절차

  1. 허용되는 모든 포트를 나열합니다. 

    # firewall-cmd --list-ports

    기본적으로 이 명령은 기본 영역에서 활성화된 포트를 나열합니다.

    참고

    이 명령은 포트로 열려 있는 포트 목록만 제공합니다. 서비스로 열려 있는 열려 있는 포트는 볼 수 없습니다. 이 경우 --list-ports 대신 --list-all 옵션을 사용하는 것이 좋습니다.

  2. 허용되는 포트 목록에서 포트를 제거하여 들어오는 트래픽에 대해 종료합니다. 

    # firewall-cmd --remove-port=port-number/port-type

    이 명령은 영역에서 포트를 제거합니다. 영역을 지정하지 않으면 기본 영역에서 포트가 제거됩니다.

  3. 새 설정을 영구적으로 만듭니다. 

    # firewall-cmd --runtime-to-permanent

    영역을 지정하지 않으면 이 명령은 런타임 변경 사항을 기본 영역의 영구 구성에 적용합니다.

검증

  1. 활성 영역을 나열하고 검사할 영역을 선택합니다. 

    # firewall-cmd --get-active-zones

  2. 선택한 영역에서 현재 열려 있는 포트를 나열하여 사용되지 않거나 불필요한 포트가 닫혀 있는지 확인합니다. 

    # firewall-cmd --zone=<zone_to_inspect> --list-ports

1.8.5. CLI를 통한 트래픽 제어

firewall-cmd 명령을 사용하여 다음을 수행할 수 있습니다.

  • 네트워킹 트래픽 비활성화
  • 네트워킹 트래픽 활성화

예를 들어 시스템 방어 기능을 강화하거나 데이터 개인 정보를 보장하거나 네트워크 리소스를 최적화할 수 있습니다.

중요

panic 모드를 활성화하면 모든 네트워킹 트래픽이 중지됩니다. 이러한 이유로 시스템에 대한 물리적 액세스 권한이 있거나 직렬 콘솔을 사용하여 로그인한 경우에만 사용해야 합니다.

절차

  1. 네트워킹 트래픽을 즉시 비활성화하려면 다음에서 패닉 모드를 전환합니다. 

    # firewall-cmd --panic-on

  2. panic 모드를 전환하면 방화벽을 영구 설정으로 되돌립니다. 패닉 모드를 전환하려면 다음을 입력합니다. 

    # firewall-cmd --panic-off

검증

  • panic 모드가 켜거나 꺼졌는지 확인하려면 다음을 사용합니다. 

    # firewall-cmd --query-panic

1.8.6. GUI를 사용하여 프로토콜로 트래픽 제어

특정 프로토콜을 사용하여 방화벽을 통한 트래픽을 허용하려면 GUI를 사용할 수 있습니다.

사전 요구 사항

  • firewall-config 패키지 설치

절차

  1. firewall-config 도구를 시작하고 변경할 설정이 있는 네트워크 영역을 선택합니다.
  2. 프로토콜 탭을 선택하고 오른쪽에 있는 추가 버튼을 클릭합니다. 프로토콜 창이 열립니다.
  3. 목록에서 프로토콜을 선택하거나 기타 프로토콜 확인란을 선택하고 필드에 프로토콜을 입력합니다.