CentOS 7에서 FirewallD를 사용하여 방화벽 관리

FirewallD는 RHEL 7 기반 서버에서 사용할 수있는 IPv4 및 IPv6 방화벽 규칙 및 방화벽 영역을 지원하는 동적으로 관리되는 방화벽입니다. iptables커널 netfilter코드를 직접 대체 하고 작동 합니다.

이 기사에서는 firewall-cmd명령을 사용하여 CentOS 7에서 방화벽을 관리하는 방법을 간략하게 살펴 보겠습니다 .

FirewallD가 실행 중인지 확인

첫 번째 단계는 FirewallD가 설치되어 실행 중인지 확인하는 것입니다. systemd다음을 실행하여 수행 할 수 있습니다 .

$ systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago ...

또는 firewall-cmd도구를 사용하여 확인할 수 있습니다 .

$ firewall-cmd --state running

영역 관리

FirewallD는 zones영역이 연결에 사용되는 신뢰 수준을 정의한 개념을 사용하여 작동 합니다. 인터페이스마다 특정 방화벽 규칙을 적용하기 위해 다른 네트워크 인터페이스를 다른 영역으로 분할하거나 모든 인터페이스에 하나의 영역을 사용할 수 있습니다.

기본적으로 모든 것은 기본 public영역에서 수행되지만 적용 가능한 다른 사전 구성된 영역도 있습니다.

사용 가능한 모든 구역 나열

사용 가능한 모든 영역의 목록을 가져와야 할 수 있습니다. 다시, 이것은 다음을 사용하여 수행 할 수 있습니다 firewall-cmd.

$ firewall-cmd --get-zones block dmz drop external home internal public trusted work

기본 영역 확인

다음을 사용하여 현재 구성된 기본 영역을 찾을 수 있습니다 firewall-cmd.

$ firewall-cmd --get-default-zone public

기본 영역을 변경하려면 (예 :로 home) 다음을 실행하여 수행 할 수 있습니다.

$ firewall-cmd --set-default-zone=home success

이 정보는 기본 구성 파일에 반영됩니다 /etc/firewalld/firewalld.conf. 그러나이 파일을 수동으로 수정하지 말고 대신을 사용하는 것이 좋습니다 firewall-cmd.

현재 할당 된 구역 확인

다음을 실행하여 인터페이스가 할당 된 영역 목록을 얻을 수 있습니다.

$ firewall-cmd --get-active-zones public interfaces: eth0

다음 eth0을 실행 하여 단일 인터페이스 ( 이 경우) 의 영역을 확인할 수도 있습니다 .

$ firewall-cmd --get-zone-of-interface=eth0 public

영역 만들기

사전 구성된 기본 영역이 사용자 요구에 맞지 않으면 새 영역 ( zone1) 을 만드는 가장 쉬운 방법 은 firewall-cmd다음과 같습니다.

$ firewall-cmd --permanent --new-zone=zone1 success

작성 후 다음을 다시로드해야합니다.

$ firewall-cmd --reload success

인터페이스에 영역 적용

네트워크 인터페이스를 영역 에 영구적으로 할당 하려면 변경 사항을 유지하기 firewall-cmd위해 --permanent플래그를 포함해야합니다 . 사용하는 경우 NetworkManager, 당신은 또한 사용해야한다 nmcli연결 영역을 설정할 수 있습니다.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1` success

영역의 영구 구성 가져 오기

public할당 된 인터페이스, 허용 된 서비스, 포트 설정 등을 포함하여 영역 ( 이 경우) 의 영구 구성을 확인하려면 다음을 실행하십시오.

$ firewall-cmd --permanent --zone=public --list-all public (default) interfaces: sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:

서비스 관리

필요한 영역을 할당하고 구성하면 영역에 서비스를 추가 할 수 있습니다. 서비스는 영역에 액세스 할 수있는 프로토콜 및 포트를 설명합니다.

기존 서비스 나열

많은 공통 서비스가 방화벽 내에서 미리 구성되어 있습니다. 이들은 나열 될 수 있습니다 :

$ firewall-cmd --get-services RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

기본 영역에 대해 활성화 된 서비스 목록을 얻을 수도 있습니다.

$ firewall-cmd --list-services dhcpv6-client ssh

영역에 서비스 추가

플래그를 public사용하여 영역 ( )에 대해 지정된 서비스를 영구적으로 사용할 수 있습니다 --add-service.

$ firewall-cmd --permanent --zone=public --add-service=http success

그런 다음 현재 방화벽 세션을 다시로드하십시오.

$ firewall-cmd --reload success

그런 다음 추가되었는지 확인하십시오.

$ firewall-cmd --zone=public --list-services dhcpv6-client http ssh

영역에서 서비스 제거

플래그를 public사용하여 영역 ( )에 대해 지정된 서비스를 영구적으로 제거 할 수 있습니다 --remove-service.

$ firewall-cmd --permanent --zone=public --remove-service=http success

그런 다음 현재 방화벽 세션을 다시로드하십시오.

$ firewall-cmd --reload success

그런 다음 추가되었는지 확인하십시오.

$ firewall-cmd --zone=public --list-services dhcpv6-client ssh

영역에서 여러 서비스 추가 / 제거

원하는 서비스 이름을 중괄호 ( , )로 묶어 여러 서비스 (예 : http및 https)를 영역에서 한 번에 하나씩 또는 한 번에 추가하거나 제거 할 수 있습니다 .{}

$ firewall-cmd --permanent --zone=public --add-service= success $ firewall-cmd --permanent --zone=public --list-services dhcpv6-client http https ssh

새로운 서비스 만들기

때로는 SSH 데몬의 포트를 변경 한 경우와 같이 새 사용자 정의 서비스를 추가해야 할 수도 있습니다. 서비스는 간단한 XML 파일을 사용하여 정의되며 기본 파일은 다음 위치에 있습니다 /usr/lib/firewalld/services.

$ tree /usr/lib/firewalld/services /usr/lib/firewalld/services ├── amanda-client.xml ├── bacula-client.xml ├── bacula.xml ├── dhcpv6-client.xml ├── dhcpv6.xml ├── dhcp.xml ├── dns.xml ├── freeipa-ldaps.xml ├── freeipa-ldap.xml ├── freeipa-replication.xml ├── ftp.xml ├── high-availability.xml ├── https.xml ├── http.xml ...

 

새로운 서비스를 생성하는 가장 쉬운 방법은 이러한 기존 서비스 파일 중 하나를 복사하여 수정하는 것입니다. 맞춤 서비스는에 있어야합니다 /etc/firewalld/services. 예를 들어 SSH 서비스를 사용자 정의하려면 다음을 수행하십시오.

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

이 복사 된 파일의 내용은 다음과 같아야합니다.

$ cat /etc/firewalld/services/ssh-custom.xml <?xml version="1.0" encoding="utf-8"?> <service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/> </service>

포트를 변경하려면 서비스의 짧은 이름과 포트를 변경해야합니다. 원하는 경우 설명을 변경할 수도 있지만 이는 사용자 인터페이스 나 다른 응용 프로그램에서 사용할 수있는 추가 메타 데이터 일뿐입니다. 이 예에서는 포트를 1234로 변경합니다.

$ nano /etc/firewalld/services/ssh-custom.xml <?xml version="1.0" encoding="utf-8"?> <service> <short>SSH-Custom</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="1234"/> </service>

일단 저장되면 방화벽을 다시로드 한 다음 규칙을 영역에 적용 할 수 있습니다.

$ firewall-cmd --reload success $ firewall-cmd --permanent --zone=public --add-service=ssh-custom success

포트 관리

서비스를 사용하는 것 외에도 프로토콜별로 포트를 수동으로 허용 할 수도 있습니다. 영역에 7777대한 TCP 포트를 허용하려면public

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp success

포트 범위를 추가 할 수도 있습니다.

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp success

영역의 TCP 포트를 제거하여 거부하려면 다음과 같이 7777하십시오 public.

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp success

public현재 방화벽 세션을 다시로드 한 후 지정된 영역 ( )에 대해 현재 허용 된 포트를 나열 할 수도 있습니다 .

 

$ firewall-cmd --zone=public --list-ports 7000-8000/tcp

FirewallD 활성화

원하는대로 방화벽을 구성한 후에는 시작시 방화벽이 시작되도록 systemd를 통해 방화벽을 활성화해야합니다.

$ systemctl enable firewalld

결론

FirewallD에는 포트 포워딩, 마스커레이딩 및 D-Bus를 통한 방화벽과의 통신과 같은 훨씬 더 많은 설정과 옵션이 있습니다. 이 가이드가 기본 사항을 이해하는 데 도움이 되었기 때문에 서버에서 방화벽을 시작하는 데 필요한 도구를 제공했을 것입니다. 아래의 추가 정보는 방화벽을 최대한 활용하는 데 도움이됩니다.