1.12. ICMP 요청 관리

ICMP( Internet Control Message Protocol )는 다양한 네트워크 장치에서 테스트, 문제 해결 및 진단을 위해 사용하는 지원 프로토콜입니다. ICMP 는 시스템 간에 데이터를 교환하는 데 사용되지 않으므로 TCP 및 UDP와 같은 전송 프로토콜과 다릅니다.

ICMP 메시지, 특히 echo-requestecho-reply 를 사용하여 네트워크에 대한 정보를 공개하고 다양한 종류의 사기 활동에 대해 이러한 정보를 오용할 수 있습니다. 따라서 firewalld 는 네트워크 정보를 보호하기 위해 ICMP 요청을 제어할 수 있습니다.

1.12.1. ICMP 필터링 구성

ICMP 필터링을 사용하여 방화벽에서 시스템에 도달할 수 있도록 허용하거나 거부할 ICMP 유형 및 코드를 정의할 수 있습니다. ICMP 유형 및 코드는 ICMP 메시지의 특정 카테고리 및 하위 범주입니다.

예를 들어 ICMP 필터링은 다음 영역에서 도움이 됩니다.

  • 보안 개선 - 잠재적으로 유해한 ICMP 유형 및 코드를 차단하여 공격 면적을 줄입니다.
  • 네트워크 성능 - 네트워크 성능을 최적화하고 과도한 ICMP 트래픽으로 인한 잠재적인 네트워크 혼잡을 방지하는 데 필요한 ICMP 유형만 허용합니다.
  • 문제 해결 제어 - 잠재적인 보안 위험을 나타내는 네트워크 문제 해결 및 차단 ICMP 유형에 대한 필수 ICMP 기능을 유지 관리합니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

절차

  1. 사용 가능한 ICMP 유형 및 코드를 나열합니다.

    # firewall-cmd --get-icmptypes
    address-unreachable bad-header beyond-scope communication-prohibited destination-unreachable echo-reply echo-request failed-policy fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable
    ...

    사전 정의된 목록에서 허용 또는 차단할 ICMP 유형 및 코드를 선택합니다.

  2. 특정 ICMP 유형을 다음과 같이 필터링합니다.

    • ICMP 유형 허용:

      # firewall-cmd --zone=<target-zone> --remove-icmp-block=echo-request --permanent

      명령은 echo requests ICMP 유형의 기존 차단 규칙을 제거합니다.

    • ICMP 유형 차단:

      # firewall-cmd --zone=<target-zone> --add-icmp-block=redirect --permanent

      이 명령을 사용하면 리디렉션 메시지 ICMP 유형이 방화벽에 의해 차단됩니다.

  3. 방화벽 구성을 다시 로드하여 변경 사항을 적용합니다.

    # firewall-cmd --reload

검증

  • 필터링 규칙이 적용되었는지 확인합니다.

    # firewall-cmd --list-icmp-blocks
    redirect

    명령 출력에는 허용 또는 차단한 ICMP 유형 및 코드가 표시됩니다.

추가 리소스

  • firewall-cmd(1) 매뉴얼 페이지