웹사이트 검색

Rocky Linux 9에서 firewalld를 사용하여 방화벽을 설정하는 방법


소개

iptables 패킷 필터링 시스템.

이 가이드에서는 Rocky Linux 9 서버용 방화벽 방화벽을 설정하는 방법을 검토하고 firewall-cmd 관리 도구를 사용하여 방화벽 관리의 기본 사항을 다룹니다. .

전제 조건

이 튜토리얼을 완료하려면 Rocky Linux 9을 실행하는 서버가 필요합니다. 루트가 아닌 sudo 사용 사용자로 이 서버에 로그인해야 합니다. 이를 설정하려면 Rocky Linux 9용 초기 서버 설정 가이드를 참조하세요.

1단계 - firewalld의 핵심 개념 검토

firewall-cmd 유틸리티를 실제로 사용하여 방화벽 구성을 관리하는 방법을 검토하기 전에 도구에서 소개하는 몇 가지 개념에 익숙해져야 합니다.

구역

firewalld 데몬은 영역이라는 엔티티를 사용하여 규칙 그룹을 관리합니다. 영역은 네트워크에 대한 신뢰 수준에 따라 허용되어야 하는 트래픽을 지시하는 규칙 집합입니다. 방화벽이 허용해야 하는 동작을 지정하기 위해 네트워크 인터페이스가 영역에 할당됩니다.

랩톱과 같이 네트워크 간에 자주 이동할 수 있는 컴퓨터의 경우 이러한 종류의 유연성은 환경에 따라 규칙을 변경하는 좋은 방법을 제공합니다. 공용 WiFi 네트워크에서 작동할 때 대부분의 트래픽을 금지하는 엄격한 규칙이 있을 수 있지만 홈 네트워크에 연결되어 있을 때는 더 완화된 제한을 허용할 수 있습니다. 서버의 경우 네트워크 환경이 거의 변경되지 않기 때문에 이러한 영역은 그다지 중요하지 않은 경우가 많습니다.

네트워크 환경이 얼마나 동적인지에 관계없이 방화벽에 대해 사전 정의된 각 영역의 일반적인 개념을 숙지하는 것이 여전히 유용합니다. firewalld 내의 미리 정의된 영역은 신뢰도가 낮은 것부터 가장 신뢰하는 것 순으로 다음과 같습니다.

  • 드롭: 가장 낮은 신뢰 수준. 들어오는 모든 연결은 응답 없이 끊어지고 나가는 연결만 가능합니다.
  • 차단: 위와 유사하지만 연결을 끊는 대신 들어오는 요청이 icmp-host-prohibited 또는 icmp6-adm-prohibited 메시지와 함께 거부됩니다.< /리>
  • 공용: 신뢰할 수 없는 공용 네트워크를 나타냅니다. 다른 컴퓨터를 신뢰하지 않지만 경우에 따라 선택한 수신 연결을 허용할 수 있습니다.
  • 외부: 방화벽을 게이트웨이로 사용하는 경우의 외부 네트워크입니다. 내부 네트워크가 비공개로 유지되지만 연결할 수 있도록 NAT 매스커레이딩용으로 구성됩니다.
  • 내부: 게이트웨이의 내부 부분에 사용되는 외부 영역의 다른 쪽. 컴퓨터는 상당히 신뢰할 수 있으며 몇 가지 추가 서비스를 사용할 수 있습니다.
  • dmz: DMZ(네트워크의 나머지 부분에 액세스할 수 없는 격리된 컴퓨터)에 있는 컴퓨터에 사용됩니다. 특정 수신 연결만 허용됩니다.
  • 작업: 작업 기계에 사용됩니다. 네트워크에 있는 대부분의 컴퓨터를 신뢰합니다. 몇 가지 서비스가 더 허용될 수 있습니다.
  • 가정: 가정 환경. 일반적으로 대부분의 다른 컴퓨터를 신뢰하고 몇 가지 추가 서비스가 허용됨을 의미합니다.
  • 신뢰됨: 네트워크의 모든 시스템을 신뢰합니다. 사용 가능한 옵션 중 가장 개방적이며 드물게 사용해야 합니다.

방화벽을 사용하려면 규칙을 만들고 영역의 속성을 변경한 다음 가장 적합한 영역에 네트워크 인터페이스를 할당할 수 있습니다.

규칙 영속성

firewalld에서 규칙은 현재 런타임 규칙 세트에 적용되거나 영구적이 될 수 있습니다. 규칙을 추가하거나 수정하면 기본적으로 현재 실행 중인 방화벽만 수정됩니다. 다음에 다시 부팅하거나 firewalld 서비스를 다시 로드하면 영구적인 규칙만 남게 됩니다.

대부분의 firewall-cmd 작업은 --permanent 플래그를 사용하여 변경 사항을 영구 구성에 적용해야 함을 나타낼 수 있습니다. 또한 현재 실행 중인 방화벽은 firewall-cmd --runtime-to-permanent 명령을 사용하여 영구 구성에 저장할 수 있습니다.

이러한 런타임 구성과 영구 구성의 분리는 활성 방화벽에서 규칙을 안전하게 테스트한 다음 다시 로드하여 문제가 있는 경우 다시 시작할 수 있음을 의미합니다.

2단계 - firewalld 설치 및 활성화

firewalld는 Rocky Linux의 많은 배포를 포함하여 일부 Linux 배포판에 기본적으로 설치됩니다. 그러나 방화벽을 직접 설치해야 할 수도 있습니다. Rocky의 dnf 패키지 관리자를 사용하여 이 작업을 수행할 수 있습니다.

  1. sudo dnf install firewalld -y

firewalld를 설치한 후 systemctl을 사용하여 서비스를 활성화해야 합니다. firewalld를 활성화하면 부팅 시 서비스가 시작됩니다. 잠재적인 문제를 방지하려면 방화벽 규칙을 만들고 SSH를 통해 로그인한 상태에서 규칙을 테스트하는 것이 가장 좋습니다.

  1. sudo systemctl enable firewalld
  2. sudo systemctl start firewalld

다음을 입력하여 서비스가 실행 중이고 연결할 수 있는지 확인할 수 있습니다.

  1. sudo firewall-cmd --state
Output
running

이는 방화벽이 기본 구성으로 실행 중임을 나타냅니다. 추가로 수정하기 전에 firewalld에서 제공하는 기본 환경과 규칙을 숙지해야 합니다.

기본값 탐색

firewall-cmd --get-default-zone을 실행하여 현재 어떤 영역이 기본값으로 선택되어 있는지 확인할 수 있습니다.

  1. firewall-cmd --get-default-zone
Output
public

기본 영역에서 벗어나는 방화벽 명령을 제공하지 않았고 다른 영역에 바인딩하도록 구성된 인터페이스가 없으므로 해당 영역도 유일한 활성 영역(인터페이스에 대한 트래픽을 제어하는 영역)이 됩니다. . firewall-cmd --get-active-zones를 실행하여 확인할 수 있습니다.

  1. firewall-cmd --get-active-zones
Output
public interfaces: eth0 eth1

여기에서 예제 서버에 방화벽에 의해 제어되는 두 개의 네트워크 인터페이스(eth0eth1)가 있음을 알 수 있습니다. 둘 다 현재 공개 영역에 대해 정의된 규칙에 따라 관리되고 있습니다.

firewall-cmd --list-all을 사용하여 기본 영역 구성에 연결된 규칙을 인쇄할 수 있습니다.

  1. sudo firewall-cmd --list-all
Output
public (active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: cockpit dhcpv6-client ssh ports: protocols: forward: yes masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

출력에서 이 영역이 기본 및 활성 상태이며 eth0eth1 인터페이스가 이 영역과 연결되어 있음을 알 수 있습니다. services: 줄에서 이 영역이 DHCP 클라이언트(IP 주소 할당용), SSH(원격 관리용) 및 Cockpit(웹 기반 콘솔)에 대한 트래픽을 허용하는 것도 볼 수 있습니다.

대체 구역 탐색

다른 영역에 대한 정보도 확인할 수 있습니다.

사용 가능한 영역 목록을 가져오려면 firewall-cmd --get-zones를 실행합니다.

  1. firewall-cmd --get-zones
Output
block dmz drop external home internal nm-shared public trusted work

--list-all 명령에 --zone= 매개변수를 포함하여 영역과 관련된 특정 구성을 볼 수 있습니다.

  1. sudo firewall-cmd --zone=home --list-all
Output
home target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client mdns samba-client ssh ports: protocols: forward: yes masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

--list-all-zones 옵션을 사용하여 모든 영역 정의를 출력할 수 있습니다. 다음으로 네트워크 인터페이스에 영역을 할당하는 방법에 대해 알아봅니다.

3단계 - 인터페이스 영역 선택

네트워크 인터페이스를 달리 구성하지 않은 경우 방화벽이 시작될 때 각 인터페이스는 기본 영역에 배치됩니다.

인터페이스 영역 변경

--change-interface= 매개변수와 함께 --zone= 매개변수를 사용하여 세션 중에 영역 간에 인터페이스를 이동할 수 있습니다. 방화벽을 수정하는 모든 명령과 마찬가지로 sudo를 사용해야 합니다.

예를 들어 eth0 인터페이스를 홈 영역으로 이동할 수 있습니다.

  1. sudo firewall-cmd --zone=home --change-interface=eth0
Output
success

참고: 인터페이스를 새 영역으로 이동할 때마다 작동할 서비스를 수정한다는 점에 유의하십시오. 이 경우 SSH를 사용할 수 있는 홈 영역으로 이동합니다. 이는 연결이 끊어지지 않아야 함을 의미합니다. 일부 다른 영역에는 기본적으로 SSH가 활성화되어 있지 않으며 이러한 영역 중 하나로 전환하면 연결이 끊어져 서버에 다시 로그인하지 못할 수 있습니다.

활성 영역을 다시 확인하여 이것이 성공했는지 확인할 수 있습니다.

  1. firewall-cmd --get-active-zones
Output
home interfaces: eth0 public interfaces: eth1

기본 영역 조정

모든 인터페이스를 사전 정의된 단일 영역에서 잘 처리할 수 있는 경우 해당 영역을 기본값으로 지정해야 합니다. --set-default-zone= 매개변수를 사용하여 기본 영역을 변경할 수 있습니다. 이렇게 하면 기본 영역을 사용하는 모든 인터페이스가 즉시 변경됩니다.

  1. sudo firewall-cmd --set-default-zone=home
Output
success

4단계 - 애플리케이션에 대한 규칙 설정

방화벽 예외를 정의하는 방법을 살펴보겠습니다.

영역에 서비스 추가

가장 간단한 방법은 사용 중인 영역에 필요한 서비스 또는 포트를 추가하는 것입니다. firewall-cmd--get-services 옵션을 사용하여 사용 가능한 서비스 정의 목록을 가져올 수 있습니다.

  1. firewall-cmd --get-services
Output
RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-api kube-apiserver kube-control-plane kube-controller-manager kube-scheduler kubelet-worker ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd netbios-ns nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wireguard wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

참고: /usr/lib/firewalld/services 디렉토리 내의 관련 .xml 파일을 보면 이러한 각 서비스에 대한 자세한 내용을 찾을 수 있습니다. 예를 들어 SSH 서비스는 다음과 같이 정의됩니다.

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

--add-service= 매개변수를 사용하여 영역에 대한 서비스를 활성화할 수 있습니다. 이 작업은 기본 영역 또는 --zone= 매개변수로 지정된 영역을 대상으로 합니다. 기본적으로 이것은 현재 방화벽 세션만 조정하며 서비스를 다시 시작하거나 재부팅한 후에는 지속되지 않습니다. --permanent 플래그를 포함하여 영구 방화벽 구성을 조정할 수 있습니다.

예를 들어 기존 HTTP 트래픽을 제공하는 웹 서버를 실행 중인 경우 공용 영역의 인터페이스에 대해 이 트래픽을 일시적으로 허용할 수 있습니다.

  1. sudo firewall-cmd --zone=public --add-service=http

--zone= 플래그를 생략하여 기본 영역을 수정할 수 있습니다. --list-all 또는 --list-services 작업을 사용하여 작업이 성공했는지 확인할 수 있습니다.

  1. sudo firewall-cmd --zone=public --list-services
Output
cockpit dhcpv6-client http ssh

모든 것이 제대로 작동하는지 테스트한 후에는 재부팅 후에도 서비스를 계속 사용할 수 있도록 영구 방화벽 규칙을 수정할 수 있습니다. --permanent 플래그를 추가하여 이전 명령을 영구적으로 만들 수 있습니다.

  1. sudo firewall-cmd --zone=public --add-service=http --permanent
Output
success

또는 --runtime-to-permanent 플래그를 사용하여 현재 실행 중인 방화벽 구성을 영구 구성에 저장할 수 있습니다.

  1. sudo firewall-cmd --runtime-to-permanent

실행 중인 방화벽에 대한 모든 변경 사항이 영구적으로 커밋되므로 이 옵션에 주의하십시오.

어떤 방법을 선택하든 --list-services 작업에 --permanent 플래그를 추가하여 성공 여부를 확인할 수 있습니다. 모든 --permanent 작업에는 sudo를 사용해야 합니다.

  1. sudo firewall-cmd --zone=public --list-services --permanent
Output
cockpit dhcpv6-client http ssh

이제 공개 영역이 포트 80에서 HTTP 웹 트래픽을 허용합니다. 웹 서버가 SSL/TLS를 사용하도록 구성된 경우 https 서비스도 추가해야 합니다. 다음을 입력하여 현재 세션과 영구 규칙 세트에 추가할 수 있습니다.

  1. sudo firewall-cmd --zone=public --add-service=https
  2. sudo firewall-cmd --zone=public --add-service=https --permanent

firewalld 설치에 포함된 서비스는 액세스를 허용해야 할 수 있는 가장 일반적인 많은 응용 프로그램을 나타냅니다. 그러나 이러한 서비스가 요구 사항에 맞지 않는 시나리오가 있을 수 있습니다.

이 상황에서는 두 가지 옵션이 있습니다.

영역에 대한 포트 열기

특정 애플리케이션에 대한 지원을 추가하는 가장 간단한 방법은 적절한 영역에서 사용하는 포트를 여는 것입니다. 이는 포트 또는 포트 범위와 포트에 대한 관련 프로토콜(TCP 또는 UDP)을 지정하여 수행됩니다.

예를 들어 애플리케이션이 포트 5000에서 실행되고 TCP를 사용하는 경우 --add-port= 매개변수를 사용하여 이를 public 영역에 임시로 추가할 수 있습니다. 프로토콜은 tcp 또는 udp로 지정할 수 있습니다.

  1. sudo firewall-cmd --zone=public --add-port=5000/tcp
Output
success

--list-ports 작업을 사용하여 이것이 성공했는지 확인할 수 있습니다.

  1. sudo firewall-cmd --zone=public --list-ports
Output
5000/tcp

대시로 범위의 시작 포트와 끝 포트를 구분하여 포트의 순차적 범위를 지정할 수도 있습니다. 예를 들어 애플리케이션이 UDP 포트 4990~4999를 사용하는 경우 다음을 입력하여 공개적으로 열 수 있습니다.

  1. sudo firewall-cmd --zone=public --add-port=4990-4999/udp

테스트 후 이를 영구 방화벽에 추가할 수 있습니다. sudo firewall-cmd --runtime-to-permanent를 사용하거나 --permanent 플래그와 함께 명령을 다시 실행합니다.

  1. sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
  2. sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
  3. sudo firewall-cmd --zone=public --permanent --list-ports
Output
success success 5000/tcp 4990-4999/udp

서비스 정의

영역에 대한 포트를 여는 것은 간단한 솔루션이지만 각각의 용도를 추적하기 어려울 수 있습니다. 서버에서 서비스를 해제하면 열려 있는 포트 중 여전히 필요한 포트를 분류하는 데 어려움을 겪을 수 있습니다. 이러한 상황을 피하기 위해 새 서비스를 정의할 수 있습니다.

서비스는 연결된 이름과 설명이 있는 포트 모음입니다. 서비스를 사용하여 방화벽을 관리하는 것은 일반적으로 포트를 매핑하는 것보다 유지 관리하기 쉽지만 일부 초기 구성이 필요합니다. /usr/lib/firewalld/services의 기존 스크립트를 방화벽이 비표준 정의를 찾는 /etc/firewalld/services 디렉토리로 복사하여 시작할 수 있습니다.

예를 들어 SSH 서비스 정의를 복사하여 이와 같이 예제 서비스 정의에 사용할 수 있습니다. 방화벽 서비스 목록 내의 서비스 이름은 이 파일의 이름에서 .xml 접미사를 뺀 것입니다.

  1. sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml

vi 또는 원하는 텍스트 편집기를 사용하여 파일을 엽니다.

  1. sudo vi /etc/firewalld/services/example.xml

시작하려면 복사한 SSH 정의가 파일에 포함됩니다.

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

이 정의의 대부분은 실제로 메타데이터입니다. <short> 태그 내에서 서비스의 짧은 이름을 변경해야 합니다. 사람이 읽을 수 있는 서비스 이름입니다. 또한 서비스를 감사해야 하는 경우 추가 정보를 얻을 수 있도록 설명을 추가해야 합니다. 실제로 서비스의 기능에 영향을 미치는 유일한 구성은 열려는 포트 번호와 프로토콜을 식별하는 포트 정의일 것입니다. 여러 태그를 지정할 수 있습니다.

example 서비스의 경우 TCP용 포트 7777과 UDP용 포트 8888을 열어야 한다고 가정해 보십시오. 다음과 같이 기존 정의를 수정할 수 있습니다.

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>Example Service</short>
  <description>This is just an example service. It probably shouldn't be used on a real system.</description>
  <port protocol="tcp" port="7777"/>
  <port protocol="udp" port="8888"/>
</service>

파일을 저장하고 닫습니다.

새 서비스에 액세스하려면 방화벽을 다시 로드하십시오.

  1. sudo firewall-cmd --reload

이제 사용 가능한 서비스 목록에 있음을 알 수 있습니다.

  1. firewall-cmd --get-services
Output
RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server example finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-api kube-apiserver kube-control-plane kube-controller-manager kube-scheduler kubelet-worker ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd netbios-ns nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wireguard wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

이제 평소처럼 영역에서 이 서비스를 사용할 수 있습니다.

5단계 - 나만의 영역 만들기

사전 정의된 영역은 대부분의 사용자에게 적합하지만 해당 기능을 보다 잘 설명하는 고유한 영역을 정의하는 것이 도움이 될 수 있습니다.

예를 들어 웹 서버용 publicweb이라는 영역을 만들어야 할 수 있습니다. 그러나 개인 네트워크에서 제공하는 DNS 서비스에 대해 다른 영역을 구성해야 할 수도 있습니다. 이를 위해 privateDNS라는 다른 영역을 만들 수 있습니다.

영역을 추가할 때 영구 방화벽 구성에 반드시 추가해야 합니다. 그런 다음 다시 로드하여 구성을 실행 중인 세션으로 가져올 수 있습니다. 예를 들어 firewall-cmd –new-zone을 사용하여 다음 두 영역을 만들 수 있습니다.

  1. sudo firewall-cmd --permanent --new-zone=publicweb
  2. sudo firewall-cmd --permanent --new-zone=privateDNS

다음을 입력하여 영구 구성에 이러한 항목이 있는지 확인할 수 있습니다.

  1. sudo firewall-cmd --permanent --get-zones
Output
block dmz drop external home internal nm-shared privateDNS public publicweb trusted work

방화벽을 다시 로드하여 이러한 새 영역을 활성 런타임 구성으로 가져옵니다.

  1. sudo firewall-cmd --reload
  2. firewall-cmd --get-zones
Output
block dmz drop external home internal nm-shared privateDNS public publicweb trusted work

이제 영역에 적절한 서비스 및 포트 할당을 시작할 수 있습니다. 일반적으로 런타임 방화벽을 조정한 다음 테스트 후 해당 변경 사항을 영구 구성에 저장하는 것이 좋습니다. 예를 들어 publicweb 영역의 경우 SSH, HTTP 및 HTTPS 서비스를 추가할 수 있습니다.

  1. sudo firewall-cmd --zone=publicweb --add-service=ssh
  2. sudo firewall-cmd --zone=publicweb --add-service=http
  3. sudo firewall-cmd --zone=publicweb --add-service=https
  4. sudo firewall-cmd --zone=publicweb --list-all
Output
publicweb target: default icmp-block-inversion: no interfaces: sources: services: http https ssh ports: protocols: forward: no masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

그런 다음 DNS 서비스를 privateDNS 영역에 추가할 수 있습니다.

  1. sudo firewall-cmd --zone=privateDNS --add-service=dns
  2. sudo firewall-cmd --zone=privateDNS --list-all
Output
privateDNS target: default icmp-block-inversion: no interfaces: sources: services: dns ports: protocols: forward: no masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

그런 다음 이러한 새 영역으로 인터페이스를 변경하여 테스트할 수 있습니다.

  1. sudo firewall-cmd --zone=publicweb --change-interface=eth0
  2. sudo firewall-cmd --zone=privateDNS --change-interface=eth1

이 시점에서 구성을 테스트할 기회가 있습니다. 이러한 값이 적합한 경우 이러한 규칙을 영구 구성에 추가해야 합니다. --permanent 플래그를 추가하여 모든 명령을 다시 실행하여 그렇게 할 수 있지만 이 경우에는 --runtime-to-permanent 플래그를 사용하여 전체 런타임 구성을 영구적으로 저장합니다.

  1. sudo firewall-cmd --runtime-to-permanent

이러한 규칙을 영구적으로 적용한 후 방화벽을 다시 로드하여 변경 사항이 유지되는지 테스트합니다.

  1. sudo firewall-cmd --reload

올바른 영역이 할당되었는지 확인합니다.

  1. firewall-cmd --get-active-zones
Output
privateDNS interfaces: eth1 publicweb interfaces: eth0

그리고 두 영역 모두에서 적절한 서비스를 사용할 수 있는지 확인합니다.

  1. sudo firewall-cmd --zone=publicweb --list-services
Output
http https ssh
  1. sudo firewall-cmd --zone=privateDNS --list-services
Output
dns

자신의 영역을 성공적으로 설정했습니다! 이러한 영역 중 하나를 다른 인터페이스의 기본값으로 만들려면 --set-default-zone= 매개변수를 사용하여 해당 동작을 구성해야 합니다.

  1. sudo firewall-cmd --set-default-zone=publicweb

결론

이제 일상적인 사용을 위해 Rocky Linux 시스템에서 firewalld 서비스를 관리하는 방법에 대해 충분히 이해하셨을 것입니다.

firewalld 서비스를 사용하면 네트워크 환경을 고려하는 유지 관리 가능한 규칙 및 규칙 세트를 구성할 수 있습니다. 영역을 사용하여 서로 다른 방화벽 정책 간에 원활하게 전환할 수 있습니다. 이 시스템에 대한 작업 지식을 습득하면 이 도구가 제공하는 유연성과 성능을 활용할 수 있습니다.

firewalld에 대한 자세한 내용은 공식 firewalld 문서를 참조하세요.