Rocky 8 이상 기준
firewall 방화벽 상태 확인
# sytemctl status firewalld
만약
실행중이 아니라면
Active: active (running) 이 아닌
Active: inactive (dead)가 나옴
그럼 시작해주면됨
# systemctl start firewalld만약
이런 에러가 뜨면 firewall이 설치가 안되어 있다는 얘기니까 설치를 해준다
# dnf install -y firewalld실행했으면 방화벽을 확인해본다
# firewall-cmd --list-all
환경다른건 상관없음
firewall에는 block, dmz, drop, external, home, internal, nm-shared, public, trusted, work
근데 실제로 써본건 block, drop, public 정도라 나중에 실 업무에서 사용 경험이 있으면 다시 쉽게 정리해서 올리도록 하겠음
일단
Public Zone : Firewalld의 기본 영역 이며, 서비스를 제공하는 포트로 연결을 허용할 경우 사용됩니다.
Drop Zone : 들어오는(Inbound) 모든 패킷을 버리고 응답을 하지 않습니다.
Block Zone : 들어오는(Inbound) 모든 패킷을 거부하지만 응답 메세지를 전달합니다.
External Zone : 라우터를 사용하여 내부 연결에 사용됩니다.
DMZ Zone : 내부 네트워크는 제한적으로 설정하고 외부 네트워크와 접근할 경우 사용됩니다.
Work Zone : 같은 네트워크 망에 있을지라도 신뢰하는 네트워크에만 허용할 경우 사용됩니다.
Trusted Zone : 모든 네트워크를 허용할 경우 사용됩니다.
Internal Zone : 내부 네트워크에 선택한 연결만 허용할 경우 사용됩니다.기본 개념은 이렇고 public, drop, block은 실제 테스트를 해봄
먼저 그래도 현재 존재하는 zone들을 조회하고 싶으면
# firewall-cmd --get-zones위 명령어는
이렇게 나오고
# firewall-cmd --list-all-zone
이렇게 모든 존에 대한 상세 정보가 나옴
public 존은 default로 잡혀있어서
최초에 아래 명령어를 입력하면 public zone이 조회됨
# firewall-cmd --list-all
iptables에서는 적용한 방화벽을 저장해주어야 하지만
firewall은 permanent라는 영구적용을 하는 강력한 옵션을 보유
만약 10.10.10.10 ip를 허용하고 싶다면\
# firewall-cmd --permanent --add-source=10.10.10.1080/tcp 포트를 허용하고싶다면
# firewall-cmd --permanent --add-port=80/tcp서비스를 허용하고 싶다면
# firewall-cmd --permanent --add-service=ftp10.10.10.10 ip에 대한 80/tcp 포트만 허용하고 싶을 때
# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=10.10.10.10 port port=80 protocol=tcp accept"10.10.10.0/24 (1~255)에 대한 ftp 서비스를 허용하고 싶을 때
# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=10.10.10.10 service name=ftp accept"
'Linux > Rocky 8.10' 카테고리의 다른 글
| [Rocky] iptables 방화벽 설정 (0) | 2024.09.05 |
|---|---|
| [Rocky] firewall 아웃바운드 설정 (0) | 2024.09.02 |
| [Rocky] FTP 설치 및 보안 설정 (0) | 2024.08.23 |
| [Rocky] 유저 생성 및 디렉터리 자동 생성 (0) | 2024.08.22 |
| [Rocky] SSH 포트 변경 (0) | 2024.08.21 |