7.7. firewalld 영역 작업

절차

1. 사용 가능한 방화벽 영역을 나열합니다.

   # firewall-cmd --get-zones

   Copy to Clipboard

   firewall-cmd --get-zones 명령은 시스템에서 사용할 수 있는 모든 영역을 표시하지만 특정 영역에 대한 세부 정보는 표시하지 않습니다. 모든 영역에 대한 자세한 정보를 보려면 firewall-cmd --list-all-zones 명령을 사용합니다.

2. 이 구성에 사용할 영역을 선택합니다.

3. 선택한 영역에 대한 방화벽 설정을 수정합니다. 예를 들어 SSH 서비스를 허용하고 ftp 서비스를 제거하려면 다음을 수행합니다.

   # firewall-cmd --add-service=ssh --zone=<your_chosen_zone>
   # firewall-cmd --remove-service=ftp --zone=<same_chosen_zone>

   Copy to Clipboard

4. 방화벽 영역에 네트워크 인터페이스를 할당합니다.

   1. 사용 가능한 네트워크 인터페이스를 나열합니다.

      # firewall-cmd --get-active-zones

      Copy to Clipboard

      영역의 작업은 해당 구성과 일치하는 네트워크 인터페이스 또는 소스 주소 범위가 있는지에 따라 결정됩니다. 기본 영역은 분류되지 않은 트래픽에 대해 활성 상태이지만 트래픽이 규칙과 일치하지 않는 경우 항상 활성 상태인 것은 아닙니다.

   2. 선택한 영역에 네트워크 인터페이스를 할당합니다.

      # firewall-cmd --zone=<your_chosen_zone> --change-interface=<interface_name> --permanent

      Copy to Clipboard

      영역에 네트워크 인터페이스를 할당하는 것은 특정 인터페이스(물리적 또는 가상)의 모든 트래픽에 일관된 방화벽 설정을 적용하는 데 더 적합합니다.

      firewall-cmd 명령을 --permanent 옵션과 함께 사용하는 경우 종종 NetworkManager 연결 프로필을 업데이트하여 방화벽 구성을 영구적으로 변경해야 합니다. firewalld 와 NetworkManager 간의 통합은 일관된 네트워크 및 방화벽 설정을 보장합니다.

검증

1. 선택한 영역에 대한 업데이트된 설정을 표시합니다.

   # firewall-cmd --zone=<your_chosen_zone> --list-all

   Copy to Clipboard

   명령 출력은 할당된 서비스, 네트워크 인터페이스 및 네트워크 연결(소스)을 포함한 모든 영역 설정을 표시합니다.

1. 현재 기본 영역을 표시합니다.

   # firewall-cmd --get-default-zone

   Copy to Clipboard

2. 새 기본 영역을 설정합니다.

   # firewall-cmd --set-default-zone <zone_name>

   Copy to Clipboard
   참고

   이 절차에서는 --permanent 옵션이 없어도 영구적인 설정입니다.

1. 활성 영역과 여기에 할당된 인터페이스를 나열합니다.

   # firewall-cmd --get-active-zones

   Copy to Clipboard

2. 인터페이스를 다른 영역에 할당합니다.

   # firewall-cmd --zone=zone_name --change-interface=interface_name --permanent

   Copy to Clipboard

절차

1. 사용 가능한 모든 영역을 나열합니다.

   # firewall-cmd --get-zones

   Copy to Clipboard

2. 영구 모드에서 소스 IP를 신뢰할 수 있는 영역에 추가합니다.

   # firewall-cmd --zone=trusted --add-source=192.168.2.15

   Copy to Clipboard

3. 새 설정을 영구적으로 설정합니다.

   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard

절차

1. 필수 영역에 허용된 소스를 나열합니다.

   # firewall-cmd --zone=zone-name --list-sources

   Copy to Clipboard

2. 영역에서 소스를 영구적으로 제거합니다.

   # firewall-cmd --zone=zone-name --remove-source=<source>

   Copy to Clipboard

3. 새 설정을 영구적으로 설정합니다.

   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard

절차

1. NetworkManager 연결 프로필에 영역을 할당합니다.

   # nmcli connection modify profile connection.zone zone_name

   Copy to Clipboard

2. 연결을 활성화합니다.

   # nmcli connection up profile

   Copy to Clipboard

절차

1. 새 영역을 생성합니다.

   # firewall-cmd --permanent --new-zone=zone-name

   Copy to Clipboard

2. 새 영역을 사용할 수 있도록 설정합니다.

   # firewall-cmd --reload

   Copy to Clipboard

   명령은 이미 실행 중인 네트워크 서비스를 중단하지 않고 최근 방화벽 구성에 변경 사항을 적용합니다.

절차

1. RHEL 8 웹 콘솔에 로그인합니다.

   자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

2. 네트워킹 을 클릭합니다.

3. Edit rules and zones 버튼을 클릭합니다.

   

   Edit rules and zones 버튼이 표시되지 않으면 관리자 권한으로 웹 콘솔에 로그인합니다.

4. 방화벽 섹션에서 새 영역 추가 를 클릭합니다.

5. 영역 추가 대화 상자의 신뢰 수준 옵션에서 영역을 선택합니다.

   웹 콘솔은 firewalld 서비스에 사전 정의된 모든 영역을 표시합니다.

6. 인터페이스 부분에서 선택한 영역이 적용되는 인터페이스 또는 인터페이스를 선택합니다.

7. 허용된 주소 부분에서 영역이 적용되는지 여부를 선택할 수 있습니다.

   • 전체 서브넷

   • 또는 다음 형식의 IP 주소 범위:

     • 192.168.1.0
     • 192.168.1.0/24
     • 192.168.1.0/24, 192.168.1.0

8. 영역 추가 버튼을 클릭합니다.

   

절차

1. RHEL 8 웹 콘솔에 로그인합니다.

   자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

2. 네트워킹 을 클릭합니다.

3. Edit rules and zones 버튼을 클릭합니다.

   

   Edit rules and zones 버튼이 표시되지 않으면 관리자 권한으로 웹 콘솔에 로그인합니다.

4. 제거하려는 영역에서 옵션 아이콘을 클릭합니다.

   

5. 삭제를 클릭합니다.

1. 특정 영역에 대한 정보를 나열하여 기본 대상을 확인합니다.

   # firewall-cmd --zone=zone-name --list-all

   Copy to Clipboard

2. 영역에 새 대상을 설정합니다.

   # firewall-cmd --permanent --zone=zone-name --set-target=<default|ACCEPT|REJECT|DROP>

   Copy to Clipboard

절차

1. 의미 있는 이름으로 IP 세트를 생성합니다.

   # firewall-cmd --permanent --new-ipset=allowlist --type=hash:ip

   Copy to Clipboard

   allowlist 라는 새 IP 세트에는 방화벽에서 허용할 IP 주소가 포함되어 있습니다.

2. IP 세트에 동적 업데이트를 추가합니다.

   # firewall-cmd --permanent --ipset=allowlist --add-entry=198.51.100.10

   Copy to Clipboard

   이 구성은 방화벽에서 네트워크 트래픽을 전달할 수 있는 새로 추가된 IP 주소로 허용 목록 IP 세트를 업데이트합니다.

3. 이전에 생성한 IP 세트를 참조하는 방화벽 규칙을 생성합니다.

   # firewall-cmd --permanent --zone=public --add-source=ipset:allowlist

   Copy to Clipboard

   이 규칙이 없으면 IP 세트가 네트워크 트래픽에 영향을 미치지 않습니다. 기본 방화벽 정책이 우선합니다.

4. 방화벽 구성을 다시 로드하여 변경 사항을 적용합니다.

   # firewall-cmd --reload

   Copy to Clipboard

검증

1. 모든 IP 세트를 나열합니다.

   # firewall-cmd --get-ipsets
   allowlist

   Copy to Clipboard

2. 활성 규칙을 나열합니다.

   # firewall-cmd --list-all
   public (active)
     target: default
     icmp-block-inversion: no
     interfaces: enp0s1
     sources: ipset:allowlist
     services: cockpit dhcpv6-client ssh
     ports:
     protocols:
     ...

   Copy to Clipboard

   명령줄 출력의 소스 섹션에서는 특정 방화벽 영역에 대한 액세스 허용 또는 거부되는 트래픽(호스트, 인터페이스, IP 세트, 서브넷 등)에 대한 인사이트를 제공합니다. 이 경우 허용 목록 IP 세트에 포함된 IP 주소는 공용 영역의 방화벽을 통해 트래픽을 전달할 수 있습니다.

3. IP 세트의 내용을 살펴봅니다.

   # cat /etc/firewalld/ipsets/allowlist.xml
   <?xml version="1.0" encoding="utf-8"?>
   <ipset type="hash:ip">
     <entry>198.51.100.10</entry>
   </ipset>

   Copy to Clipboard