[Centos7] 방화벽 설정.

 

 

  리눅스 방화벽은 컴퓨터 시스템을 보호하고 네트워크 트래픽을 관리하는 데 사용되는 소프트웨어 또는 하드웨어 기반의 보안 장치입니다. 리눅스 운영 체제에서는 다양한 방화벽 도구와 시스템이 사용됩니다. 가장 일반적인 방화벽 도구 중 하나는 iptables이며, 그 외에도 다른 방화벽 관리 도구와 프로젝트가 존재합니다. 아래에서 리눅스 방화벽의 주요 개념과 기능에 대해 알아보겠습니다.

패킷 필터링: 리눅스 방화벽은 네트워크 패킷을 검사하고, 어떤 패킷을 허용하고 어떤 패킷을 차단할지 결정합니다. 패킷 필터링은 주로 송수신되는 IP 주소, 포트, 프로토콜 등을 기반으로 이루어집니다.

iptables: iptables는 리눅스에서 네트워크 패킷 필터링을 수행하는 가장 일반적인 방화벽 도구입니다. iptables를 사용하여 다양한 규칙을 정의하고, 패킷을 허용하거나 거부할 수 있습니다. 이 규칙은 사용자 정의 규칙 또는 미리 정의된 체인(예: INPUT, OUTPUT, FORWARD)을 통해 설정됩니다.

firewalld: firewalld는 RHEL (Red Hat Enterprise Linux) 및 CentOS와 같은 배포판에서 사용되는 방화벽 관리 도구입니다. firewalld는 간단한 구성 및 동적 규칙 관리를 통해 방화벽 구성을 용이하게 합니다.

유연한 구성: 방화벽은 다양한 수준에서 구성할 수 있습니다. 서버 수준에서는 특정 포트를 허용하거나 차단하고, 네트워크 수준에서는 서브넷 간의 통신을 제어할 수 있습니다.

NAT (Network Address Translation): 방화벽은 NAT를 사용하여 내부 네트워크의 사설 IP 주소를 공인 IP 주소로 변환하거나, 반대로 공인 IP 주소를 사설 IP 주소로 변환할 수 있습니다.

로그와 모니터링: 방화벽은 로그를 생성하여 네트워크 활동을 추적하고, 시스템 관리자가 보안 이벤트를 모니터링하고 분석할 수 있게 합니다.

애플리케이션 레벨 방화벽: 리눅스에는 패킷 필터링 외에도 애플리케이션 레벨 방화벽(예: iptables의 --match와 --m 옵션을 사용하여 특정 프로토콜과 애플리케이션에 대한 규칙을 설정)을 사용할 수 있는 옵션이 있습니다.

  리눅스 방화벽은 시스템 보안을 강화하고 네트워크 트래픽을 관리함으로써 중요한 역할을 합니다. 시스템 관리자는 시스템 요구 사항에 따라 적절한 방화벽 구성을 수행하고, 보안 취약성을 줄이기 위해 주기적으로 방화벽 규칙을 검토 및 업데이트해야 합니다.

 

 

http, https, ftp, sftp, redis, tomcat

 

# 포트오픈

#http, https
sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
sudo firewall-cmd --permanent --zone=public --add-port=443/tcp

#ftp, sftp
sudo firewall-cmd --permanent --zone=public --add-port=21/tcp
sudo firewall-cmd --permanent --zone=public --add-port=22/tcp

# tomcat
sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp
sudo firewall-cmd --permanent --zone=public --add-port=8005/tcp
sudo firewall-cmd --permanent --zone=public --add-port=8443/tcp

# redis
sudo firewall-cmd --permanent --zone=public --add-port=6379/tcp

 

# 방화벽 활성화, 비활성화
systemctl enable firewalld
systemctl disable firewalld

#방화벽 시작, 종료, 재기동
systemctl start firewalld
systemctl stop firewalld
systemctl restart firewalld
sudo firewall-cmd --reload