Linux [ 방화벽 (firewalld) ]

firewalld ( 방화벽 )

 

6.x 까지는 iptables 서비스, 방화벽 설정 파일들을 사용해서 관리 

7.x 부터는 firewalld 서비스를 사용해서 방화벽 관리 

 

-시스템에서 방화벽을 사용하겠다.

--> 외부에서 들어오는 모든 접속들을 차단하겠다.

 

-시스템에서 방화벽을 설정하겠다

--> 외부에서 들어오는 모든 접속들 중 내가 원하는 부분만 허락하겠다. 

 

리눅스에서의 방화벽 관련용어 

accept : 허용                 

reject : 거부(거부 메세지 통보후 거절)    drop : 폐기(거부메세지 통보없이 거절)             

incoming : 들어오는 패킷                    outgoing : 나가는 패킷         

 run-time : 현재 상태의 방화벽 설정       permanent : 영구적 설정 , 재부팅후에도 유지 

 

방화벽 기본 영역 목록 확인  : /usr/lib/firewalld/zones

현재 적용중인 기본 영역 확인 : firewall-cmd --get-default-zone 

                                        ==주로 public 영역 사용, 상황에 따라서 zone 선택 사용가능.

기본 영역 변경 : firewall-cmd --set-default-zone=[사용할 영역]

 

아래는 리눅스 내의 방화벽관련 파일들이있는 경로로 이동하여 확인해보고, 또 , firewall명령어를 이용해서 방화벽 기본 영역목록을 확인 / 변경해본 결과이다. 

 

 

/usr/lib/firewalld/services == 리눅스에서 제공되는 서비스 목록 및 port, protocol 정보 확인

아래는 위경로로 이동하여 ssh.xml 를 cat으로 열어서 확인해본 결과 . 프로토콜타입과 포트번호를 확인가능하다.

 

방화벽 설정 :         firewall-cmd [명령어] +[옵션]

방화벽 설정 옵션들 

--parmanent : 영구적 설정 의미 ( 이 옵션이없으면 재부팅시 돌아옴 )

--reload : 영구적 변경 사항을 run-time에 재적용

--add-service=[서비스명]      : 해당 서비스 규칙 추가 : open

--remove-service=[서비스명]     : 해당 서비스 규칙 제거 : close 

--add-port=[port/protocol] :해당 port 규칙 추가 

--remove-port=[port/protocol] : 해당 port 규칙 제거 

--list-all : 현재 적용되고 있는 방화벽 규칙 확인 

 

방화벽관련 작업시에는 항상 firewall-cmd --[옵션]  으로 사용하게 될것이다. 

 

-실습 :   ssh 라는 서비스를 permanent 옵션을 사용해서 영구 해제 해주어라 .

--> firewall-cmd --parmanent --remove-service=ssh 

--> firewall-cmd --reload    ( 영구변경을 했으므로 ) 

--> ssh는 네트워크관련서비스이기떄문에 위처럼 설정 적용후에는 쁘띠접속이 안될것이다. 

실습이후 다시 add-service=ssh 로 돌려놓자!