본문 바로가기
인프라 7기/Network

리눅스 서버 보안 Firewall

by 킹버거 2023. 5. 16.

이 부분은 ................. 나중에 ................ 정리할래 ...................

 

방화벽 실행 및 등록, 재구동
- 방화벽은 서비스로 등록되어 있기 때문에 데몬으로 관리된다.


# systemctl [start|stop] firewalld.service
# systemctl [enable|disable] firewalld.service
# systemctl [is-enabled | is-active] firewalld.service
# firewall-cmd --reload ; 서비스 재구동

  • 관련 파일
    - 환경 설정 파일 : /etc/firewalld/firewalld.conf
    - service나 zone에 대한 파일
           /usr/lib/firewalld/services
           /usr/lib/firewalld/zones
  • 원래 있는 서비스와 내가 만든 서비스는 어..뭐가 다르다고?

Zone

- zone은 서버의 용도에 맞게 미리 정의된 네트워크 보안 레벨을 의미한다.
- zone은 보안 정책의 그룹이며 이를 이용 단순한 보안 설정이 가능하다.
- 기본 단위 설정은 service를 기반으로 한다.
- 미리 제공된 zone: block, dmz, drop, external, home, internal, public, trusted, work

- 각 zone에 대한 설정 내역은 /usr/lib/firewalld/zones/<zone명>.xml 파일에서 확인 가능하다.

* 인터페이스가 여러 개 있으면 각각 서로 다른 존 파일을 지정해줘야 한다.

 

인터페이스 zone 할당
• default zone을 다른 zone으로 교체한다.

# firewall‐cmd ‐‐zone=zone ‐‐change‐interface=interface
- 지정된 인터페이스의 zone이 교체된다.
- firewall‐cmd ‐‐reload를 실행한다.

 

Zone 관련 옵션

# firewall-cmd [옵션]
--get-zones : 목록 출력
--list-all-zones : 모든 zone 내역 출력
--list-all : 활성화된 zone 내용 출력
--get-default-zone : default 확인
--set-default-zone : default 변경
--get-active-zone : 인터페이스 별 활성화된 zone 확인
--permanent --new-zone=zone : zone 추가
--permanent --delete-zone=zone : zone 삭제
* zone에 대한 추가/삭제는 firewall-cmd --reload 가 필요하다.

 

방화벽을 끄면 기본적으로 SSH 서비스를 제외하고 아무 것도 어?.. 멀 제공하지 않아? 

 

 

 

 

firewall-cmd --permanent --new-service oracle
firewall-cmd --permanent --service=oracle --set-short=oracle_net
firewall-cmd --permanent --service=oracle --add-port=1521/tcp


firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24"
service name="dns" accept'

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24"
service name="ssh" accept'

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24"
service name="telnet" accept'

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24"
service name="ftp" accept'

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24"
service name="mail" accept'

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24"
service name="http" accept'



firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.12.11"
destination address="192.168.0.11" service name="oracle" accept'

firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.12.11"
destination address="192.168.11.110" service name="ftp" accept'




firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.12.11" service name="ftp" accept'

firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.12.11" service name="ssh" accept'

firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.12.11" service name="telnet" accept'

firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.12.11" service name="http" accept'




firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.12.13" service name="dns" accept'

firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.12.13" service name="ssh" accept'

firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.12.13" service name="telnet" accept'



firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.0.11" service name="oracle" accept'

firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.0.11" service name="ssh" accept'

firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" source address="192.168.11.110"
destination address="192.168.0.11" service name="telnet" accept'



firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" destination address="192.168.12.11"
service name="http" accept'

firewall-cmd --permanent --zone=public --add-rich-rule = 'rule family="ipv4" destination address="192.168.12.13"
service name="dns" accept'

'인프라 7기 > Network' 카테고리의 다른 글

Oracle,php 연동 Apache 웹 서버 구축  (0) 2023.05.02
방화벽 실습  (0) 2023.05.02
패킷의 이해 -1 [Ethernet, IP]  (0) 2023.04.10
OSPF(Open Shortest Path First)  (0) 2023.03.30
TCP segment 구조  (0) 2023.03.30

관련글

티스토리툴바