지원콘솔개발자평가판 시작연락처

7.8. firewalld를 사용하여 네트워크 트래픽 제어

firewalld 패키지는 많은 수의 사전 정의된 서비스 파일을 설치하고 더 많은 서비스를 추가하거나 사용자 지정할 수 있습니다. 그런 다음 이러한 서비스 정의를 사용하여 사용하는 프로토콜과 포트 번호를 몰라도 서비스에 대한 포트를 열거나 닫을 수 있습니다.

7.8.1. CLI를 사용하여 사전 정의된 서비스로 트래픽 제어

트래픽을 제어하는 가장 간단한 방법은 사전 정의된 서비스를 firewalld 에 추가하는 것입니다. 그러면 필요한 모든 포트가 열리고 서비스 정의 파일에 따라 다른 설정을 수정합니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

절차

  1. firewalld 의 서비스가 아직 허용되지 않았는지 확인합니다. 

    # firewall-cmd --list-services
ssh dhcpv6-client

    명령은 기본 영역에서 활성화된 서비스를 나열합니다.

  2. firewalld 에서 사전 정의된 모든 서비스를 나열합니다. 

    # firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...

    명령은 기본 영역에 사용 가능한 서비스 목록을 표시합니다.

  3. firewalld 에서 허용하는 서비스 목록에 서비스를 추가합니다. 

    # firewall-cmd --add-service=<service_name>

    명령은 지정된 서비스를 기본 영역에 추가합니다.

  4. 새 설정을 영구적으로 설정합니다. 

    # firewall-cmd --runtime-to-permanent

    명령은 이러한 런타임 변경 사항을 방화벽의 영구 구성에 적용합니다. 기본적으로 이러한 변경 사항은 기본 영역의 구성에 적용됩니다.

검증

  1. 모든 영구 방화벽 규칙을 나열합니다. 

    # firewall-cmd --list-all --permanent
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

    명령은 기본 방화벽 영역(공용)의 영구 방화벽 규칙을 사용하여 전체 구성을 표시합니다.

  2. firewalld 서비스의 영구 구성의 유효성을 확인합니다. 

    # firewall-cmd --check-config
success

    영구 구성이 유효하지 않으면 명령에서 추가 세부 정보와 함께 오류를 반환합니다. 

    # firewall-cmd --check-config
Error: INVALID_PROTOCOL: 'public.xml': 'tcpx' not from {'tcp'|'udp'|'sctp'|'dccp'}

    영구 구성 파일을 수동으로 검사하여 설정을 확인할 수도 있습니다. 기본 설정 파일은 /etc/firewalld/firewalld.conf 입니다. 영역별 구성 파일은 /etc/firewalld/zones/ 디렉터리에 있으며 정책은 /etc/firewalld/policies/ 디렉터리에 있습니다.

7.8.2. GUI를 사용하여 사전 정의된 서비스로 트래픽 제어

그래픽 사용자 인터페이스를 사용하여 사전 정의된 서비스로 네트워크 트래픽을 제어할 수 있습니다. 방화벽 구성 애플리케이션은 명령줄 유틸리티에 대한 액세스 가능하고 사용자에게 친숙한 대안을 제공합니다.

사전 요구 사항

  • firewall-config 패키지를 설치했습니다.
  • firewalld 서비스가 실행 중입니다.

절차

  1. 사전 정의된 또는 사용자 지정 서비스를 활성화하거나 비활성화하려면 다음을 수행합니다.

    1. firewall-config 유틸리티를 시작하고 서비스를 구성할 네트워크 영역을 선택합니다.
    2. 영역 탭을 선택한 다음 아래의 서비스 탭을 선택합니다.
    3. 신뢰할 각 서비스 유형에 대한 확인란을 선택하거나 선택한 영역에서 서비스를 차단하는 확인란을 지웁니다.

  2. 서비스를 편집하려면 다음을 수행합니다.

    1. firewall-config 유틸리티를 시작합니다.
    2. Configuration (구성)이라는 레이블이 지정된 메뉴에서 Permanent (영구)를 선택합니다. Services (서비스) 창의 아래쪽에 추가 아이콘 및 메뉴 버튼이 표시됩니다.
    3. 구성할 서비스를 선택합니다.

Ports,Protocols, Source Port 탭을 사용하면 선택한 서비스에 대한 포트, 프로토콜 및 소스 포트를 추가, 변경 및 제거할 수 있습니다. 모듈 탭은 Netfilter 도우미 모듈을 구성하는 데 사용됩니다. 대상 탭에서는 트래픽을 특정 대상 주소 및 인터넷 프로토콜(IPv4 또는 IPv6)으로 제한할 수 있습니다.

참고

런타임 모드에서는 서비스 설정을 변경할 수 없습니다.

검증

  • Super 키를 눌러 활동 개요를 입력합니다.

  • Firewall Configuration 유틸리티를 선택합니다.

    • firewall-config 명령을 입력하여 명령줄을 사용하여 그래픽 방화벽 구성 유틸리티를 시작할 수도 있습니다.

  • 방화벽 구성 목록을 확인합니다.

    방화벽 구성

방화벽 구성 창이 열립니다. 이 명령은 일반 사용자로 실행할 수 있지만, 관리자 암호를 묻는 메시지가 표시되는 경우가 있습니다.

7.8.3. 웹 콘솔을 사용하여 방화벽에서 서비스 활성화

기본적으로 서비스는 기본 방화벽 영역에 추가됩니다. 더 많은 네트워크 인터페이스에서 방화벽 영역을 사용하는 경우 먼저 영역을 선택한 다음 포트로 서비스를 추가해야 합니다.

RHEL 8 웹 콘솔에는 사전 정의된 firewalld 서비스가 표시되고 활성 방화벽 영역에 추가할 수 있습니다.

중요

RHEL 8 웹 콘솔은 firewalld 서비스를 구성합니다.

웹 콘솔은 웹 콘솔에 나열되지 않은 일반 firewalld 규칙을 허용하지 않습니다.

사전 요구 사항

절차

  1. RHEL 8 웹 콘솔에 로그인합니다.

    자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

  2. 네트워킹 을 클릭합니다.

  3. Edit rules and zones 버튼을 클릭합니다.

    cockpit edit rules and zones

    Edit rules and zones 버튼이 표시되지 않으면 관리자 권한으로 웹 콘솔에 로그인합니다.

  4. 방화벽 섹션에서 서비스를 추가할 영역을 선택하고 서비스 추가 를 클릭합니다.

    cockpit add services

  5. 서비스 추가 대화 상자에서 방화벽에서 활성화할 서비스를 찾습니다.

  6. 시나리오에 따라 서비스를 활성화합니다.

    cockpit add service

  7. 서비스 추가를 클릭합니다.

이 시점에서 RHEL 8 웹 콘솔에 서비스가 영역의 서비스 목록에 표시됩니다.

7.8.4. 웹 콘솔을 사용하여 사용자 정의 포트 구성

RHEL 웹 콘솔을 통해 서비스에 대한 사용자 지정 포트를 구성할 수 있습니다.

사전 요구 사항

절차

  1. RHEL 8 웹 콘솔에 로그인합니다.

    자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

  2. 네트워킹 을 클릭합니다.

  3. Edit rules and zones 버튼을 클릭합니다.

    cockpit edit rules and zones

    Edit rules and zones 버튼이 표시되지 않으면 관리 권한으로 웹 콘솔에 로그인합니다.

  4. 방화벽 섹션에서 사용자 지정 포트를 구성할 영역을 선택하고 서비스 추가 를 클릭합니다.

    RHEL web console: Add services

  5. 서비스 추가 대화 상자에서 사용자 지정 포트 라디오 버튼을 클릭합니다.

  6. TCP 및 UDP 필드에서 예제에 따라 포트를 추가합니다. 다음 형식으로 포트를 추가할 수 있습니다.

    • 22와 같은 포트 번호
    • 5900-5910과 같은 포트 번호 범위
    • nfs, rsync와 같은 별칭
    참고

    각 필드에 여러 값을 추가할 수 있습니다. 값은 쉼표 없이 쉼표로 구분해야 합니다. 예를 들면 다음과 같습니다. 8080,8081,http

  7. TCP filed에 포트 번호를 추가한 후, UDP 가 제출되었거나 둘 다되면 Name 필드에서 서비스 이름을 확인합니다.

    Name 필드에는 이 포트가 예약된 서비스 이름이 표시됩니다. 이 포트를 자유롭게 사용할 수 있고 이 포트에서 서버가 통신할 필요가 없는 경우 이름을 다시 작성할 수 있습니다.

  8. 이름 필드에 정의된 포트를 포함한 서비스의 이름을 추가합니다.

  9. 포트 추가 버튼을 클릭합니다.

    RHEL web console: Add ports

설정을 확인하려면 방화벽 페이지로 이동하여 영역의 서비스 목록에서 서비스를 찾습니다.

RHEL web console: Active zones

7.8.5. 보안 웹 서버 호스팅을 허용하도록 firewalld 구성

포트는 운영 체제가 네트워크 트래픽을 수신 및 구분하고 시스템 서비스로 전달할 수 있는 논리 서비스입니다. 시스템 서비스는 포트에서 수신 대기하고 이 포트로 들어오는 모든 트래픽을 대기하는 데몬으로 표시됩니다.

일반적으로 시스템 서비스는 예약된 표준 포트에서 수신 대기합니다. 예를 들어 httpd 데몬은 포트 80에서 수신 대기합니다. 그러나 시스템 관리자는 서비스 이름 대신 포트 번호를 직접 지정할 수 있습니다.

firewalld 서비스를 사용하여 데이터를 호스팅하기 위해 보안 웹 서버에 대한 액세스를 구성할 수 있습니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

절차

  1. 현재 활성화된 방화벽 영역을 확인합니다. 

    # firewall-cmd --get-active-zones

  2. 적절한 영역에 HTTPS 서비스를 추가합니다. 

    # firewall-cmd --zone=<zone_name> --add-service=https --permanent

  3. 방화벽 구성을 다시 로드합니다. 

    # firewall-cmd --reload

검증

  1. firewalld 에서 포트가 열려 있는지 확인합니다.

    • 포트 번호를 지정하여 포트를 연 경우 다음을 입력합니다. 

      # firewall-cmd --zone=<zone_name> --list-all

    • 서비스 정의를 지정하여 포트를 연 경우 다음을 입력합니다. 

      # firewall-cmd --zone=<zone_name> --list-services

7.8.6. 네트워크 보안을 강화하기 위해 사용되지 않거나 불필요한 포트 종료

열려 있는 포트가 더 이상 필요하지 않으면 firewalld 유틸리티를 사용하여 이를 종료할 수 있습니다.

중요

불필요한 모든 포트를 닫고 잠재적인 공격 면적을 줄이고 무단 액세스 또는 취약점 악용 위험을 최소화합니다.

절차

  1. 허용되는 모든 포트를 나열합니다. 

    # firewall-cmd --list-ports

    기본적으로 이 명령은 기본 영역에서 활성화된 포트를 나열합니다.

    참고

    이 명령은 포트로 열려 있는 포트 목록만 제공합니다. 서비스로 열려 있는 열려 있는 포트는 볼 수 없습니다. 이 경우 --list-ports 대신 --list-all 옵션을 사용하는 것이 좋습니다.

  2. 허용되는 포트 목록에서 포트를 제거하여 들어오는 트래픽에 대해 종료합니다. 

    # firewall-cmd --remove-port=port-number/port-type

    이 명령은 영역에서 포트를 제거합니다. 영역을 지정하지 않으면 기본 영역에서 포트가 제거됩니다.

  3. 새 설정을 영구적으로 설정합니다. 

    # firewall-cmd --runtime-to-permanent

    영역을 지정하지 않으면 이 명령은 런타임 변경 사항을 기본 영역의 영구 구성에 적용합니다.

검증

  1. 활성 영역을 나열하고 검사할 영역을 선택합니다. 

    # firewall-cmd --get-active-zones

  2. 선택한 영역에서 현재 열려 있는 포트를 나열하여 사용되지 않거나 불필요한 포트가 닫혀 있는지 확인합니다. 

    # firewall-cmd --zone=<zone_to_inspect> --list-ports

7.8.7. CLI를 통한 트래픽 제어

firewall-cmd 명령을 사용하여 다음을 수행할 수 있습니다.

  • 네트워킹 트래픽 비활성화
  • 네트워킹 트래픽 활성화

예를 들어 시스템 방어 기능을 강화하거나 데이터 개인 정보를 보장하거나 네트워크 리소스를 최적화할 수 있습니다.

중요

패닉 모드를 활성화하면 모든 네트워킹 트래픽이 중지됩니다. 따라서 시스템에 대한 물리적 액세스 권한이 있거나 직렬 콘솔을 사용하여 로그인하는 경우에만 사용해야 합니다.

절차

  1. 네트워킹 트래픽을 즉시 비활성화하려면 에서 패닉 모드를 전환합니다. 

    # firewall-cmd --panic-on

  2. 패닉 모드를 끄면 방화벽을 영구 설정으로 되돌립니다. 패닉 모드를 끄려면 다음을 입력합니다. 

    # firewall-cmd --panic-off

검증

  • 패닉 모드가 켜져 있는지 또는 꺼져 있는지 여부를 확인하려면 다음을 사용합니다. 

    # firewall-cmd --query-panic

7.8.8. GUI를 사용하여 프로토콜로 트래픽 제어

특정 프로토콜을 사용하여 방화벽을 통한 트래픽을 허용하려면 GUI를 사용할 수 있습니다.

사전 요구 사항

  • firewall-config 패키지 설치

절차

  1. firewall-config 도구를 시작하고 변경할 설정이 있는 네트워크 영역을 선택합니다.
  2. Protocols(프로토콜 ) 탭을 선택하고 오른쪽에 있는 Add(추가 ) 버튼을 클릭합니다. Protocol(프로토콜 ) 창이 열립니다.
  3. 목록에서 프로토콜을 선택하거나 Other Protocol(기타 프로토콜) 확인란을 선택하고 필드에 프로토콜을 입력합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.