7.9. 소스에 따라 영역을 사용하여 들어오는 트래픽 관리


영역을 사용하여 소스에 따라 들어오는 트래픽을 관리할 수 있습니다. 이 컨텍스트에서 들어오는 트래픽은 시스템을 대상으로 하거나 firewalld 를 실행하는 호스트를 통과하는 모든 데이터입니다. 소스는 일반적으로 트래픽이 시작된 IP 주소 또는 네트워크 범위를 나타냅니다. 결과적으로 들어오는 트래픽을 정렬하고 다른 영역에 할당하여 해당 트래픽으로 연결할 수 있는 서비스를 허용하거나 허용하지 않을 수 있습니다.

소스 주소의 일치는 인터페이스 이름별 일치보다 우선합니다. 영역에 소스를 추가하면 방화벽은 인터페이스 기반 규칙을 통한 들어오는 트래픽에 대한 소스 기반 규칙의 우선 순위를 지정합니다. 즉, 들어오는 트래픽이 특정 영역에 지정된 소스 주소와 일치하는 경우 해당 소스 주소와 연결된 영역에 도달하는 인터페이스에 관계없이 트래픽이 처리되는 방법이 결정됩니다. 반면 인터페이스 기반 규칙은 일반적으로 특정 소스 기반 규칙과 일치하지 않는 트래픽에 대한 폴백입니다. 이러한 규칙은 소스가 영역과 명시적으로 연결되어 있지 않은 트래픽에 적용됩니다. 이를 통해 특정 소스 정의 영역이 없는 트래픽에 대한 기본 동작을 정의할 수 있습니다.

7.9.1. 소스 추가

들어오는 트래픽을 특정 영역으로 라우팅하려면 소스를 해당 영역에 추가합니다. 소스는 IP 주소이거나 클래스 없는 도메인 간 라우팅(CIDR) 표기법의 IP 마스크일 수 있습니다.

참고

중복되는 네트워크 범위를 사용하여 여러 영역을 추가하는 경우 영역 이름으로 영숫자로 정렬되며 첫 번째 영역만 고려됩니다.

  • 현재 영역에 소스를 설정하려면 다음을 수행합니다.

    # firewall-cmd --add-source=<source>
  • 특정 영역의 소스 IP 주소를 설정하려면 다음을 수행합니다.

    # firewall-cmd --zone=zone-name --add-source=<source>

다음 절차에서는 신뢰할 수 있는 영역의 192.168.2.15 에서 들어오는 모든 트래픽을 허용합니다.

절차

  1. 사용 가능한 모든 영역을 나열합니다.

    # firewall-cmd --get-zones
  2. 영구 모드에서 소스 IP를 신뢰할 수 있는 영역에 추가합니다.

    # firewall-cmd --zone=trusted --add-source=192.168.2.15
  3. 새 설정을 영구적으로 설정합니다.

    # firewall-cmd --runtime-to-permanent

7.9.2. 소스 제거

영역에서 소스를 제거하면 소스에서 시작된 트래픽은 더 이상 해당 소스에 지정된 규칙을 통해 전달되지 않습니다. 대신 트래픽이 시작된 인터페이스와 연결된 영역의 규칙 및 설정으로 대체되거나 기본 영역으로 이동합니다.

절차

  1. 필수 영역에 허용된 소스를 나열합니다.

    # firewall-cmd --zone=zone-name --list-sources
  2. 영역에서 소스를 영구적으로 제거합니다.

    # firewall-cmd --zone=zone-name --remove-source=<source>
  3. 새 설정을 영구적으로 설정합니다.

    # firewall-cmd --runtime-to-permanent

7.9.3. 소스 포트 제거

소스 포트를 제거하면 원본 포트에 따라 트래픽 정렬을 비활성화합니다.

절차

  • 소스 포트를 제거하려면 다음을 수행합니다.

    # firewall-cmd --zone=zone-name --remove-source-port=<port-name>/<tcp|udp|sctp|dccp>

7.9.4. 특정 도메인에만 서비스를 허용하려면 영역 및 소스를 사용합니다.

특정 네트워크의 트래픽이 시스템에서 서비스를 사용하도록 허용하려면 영역 및 소스를 사용합니다. 다음 절차에서는 192.0.2.0/24 네트워크의 HTTP 트래픽만 허용하고 다른 모든 트래픽은 차단됩니다.

주의

이 시나리오를 구성할 때 기본 대상이 있는 영역을 사용합니다. 대상이 ACCEPT 로 설정된 영역을 사용하는 것은 192.0.2.0/24 의 트래픽의 경우 모든 네트워크 연결이 허용되기 때문에 보안 위험입니다.

절차

  1. 사용 가능한 모든 영역을 나열합니다.

    # firewall-cmd --get-zones
    block dmz drop external home internal public trusted work
  2. IP 범위를 내부 영역에 추가하여 소스에서 영역을 통해 발생하는 트래픽을 라우팅합니다.

    # firewall-cmd --zone=internal --add-source=192.0.2.0/24
  3. 내부 영역에 http 서비스를 추가합니다.

    # firewall-cmd --zone=internal --add-service=http
  4. 새 설정을 영구적으로 설정합니다.

    # firewall-cmd --runtime-to-permanent

검증

  • 내부 영역이 활성화되어 있고 서비스가 허용되는지 확인합니다.

    # firewall-cmd --zone=internal --list-all
    internal (active)
      target: default
      icmp-block-inversion: no
      interfaces:
      sources: 192.0.2.0/24
      services: cockpit dhcpv6-client mdns samba-client ssh http
      ...

추가 리소스

  • 시스템의 firewalld.zones(5) 도움말 페이지
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.