방화벽 관리, 포트포워딩, 리치 규칙

1. 방화벽

1) 개념

- 시스템 보안을 위해 네트워크 패킷 제어

- 시스템 외부에 별도의 장비로 존재할 수 있음

- 시스템 자체적으로 방화벽 규칙 설정이 필요

- CentOS의 경우 firewalld라는 서비스를 이용해서 규칙 제어

 

2) 구조

- 커널에 netfilter 라는 장치로 실질적인 패킷을 제어

- 해당 장치를 사용자가 제어하기 위해 firewalld 서비스 사용 (이전에는 iptables 사용)

 

2. firewalld

1) 장점

- 사용자 공간에서의 설정 방식 제공
- 서비스 이름에 대한 포트매핑 설정 제공
- 여러 가지 영역 설정으로 다양한 규칙 세팅 가능
- 규칙을 변경해도 서비스를 재시작할 필요가 없음

 

2) firewalld 파일 경로 (xml 파일형태로 보관)

- /usr/lib/firewalld: firewalld 기본 구성 + 관련된 파일 + 대비용 파일 등

- /etc/firewalld: 설정파일과 규칙

 

3) frewalld 설정

가) 실행중(runtime)설정과 영구(permanent)설정

- runtime 설정은 시스템 재부팅 또는 firewalld.service 재시작 시 삭제

- permanent 설정은 /etc/firewalld/services 디렉토리에 저장된 규칙을 유지시켜주는 설정

 

나) 사전에 정의된 영역 (pre-defined zone)

- firewalld는 zone이라는 개념 사용 -> 패킷을 카테고리처럼 분류해서 처리

- public (default zone), internal, home, external 등이 있음

- 기본적으로 들어오는 모든 패킷 거부하지만 관리자가 추가하거나 사전에 정의된 영역에는 이미 규칙이 추가돼있음

 

다) 사전에 정의된 서비스 (pre-defined service)

- firewalld는 서비스 이름과 포트번호 및 프로토콜을 미리 매핑시켜 놓은 pre-defined service 제공

ex) 서비스 이름인 http만 알고 있으면 자동으로 매핑되어 있는 80 포트의 TCP프로토콜을 방화벽 규칙에 추가 가능

 

라) D-Bus API 사용

- 메세지 버스 시스템

- 애플리케이션 간의 통신을 지원하는 D-Bus 인터페이스를 사용하여 서비스나 애플리케이션에 방화벽 규칙 설정 용이

 

4) 동작 원리

- active zone (활성화된 영역)의 규칙을 바탕으로 처리

- 네트워크 패킷이 들어오면 출발지 주소 (source address)를 살펴보고 패킷의 출발지 주소에 해당하는 규칙이 설정된 영역을 찾음

-> 만약 어떤 영역에도 출발지 주소에 해당하는 규칙이 없으면 해당 패킷의 인터페이스 규칙이 존재하는 영역으로 전달

ex) ip주소 192.241.2.128으로 firewalld가 설정된 시스템으로 ssh 접속 시도

- 시스템 주소에 해당하는 네트워크 규칙을 포함한 영역이 있는지 확인

- pre-defined zone이 기본값이라고 가정하면 public 영역으로 전달

- public 영역에서 요청한 서비스를 허용하고 있는지 판단

- public 영역은 기본적으로 ssh 서비스 허용하기 때문에 접속 허용

 

3. firewall-cmd

1) 상태 및 정보확인

# 실행 상태 확인
firewall-cmd --state

# pre-defined zone check
firewall--cmd --get_zones

# pre-defined service check
firewall--cmd --get-services

# active zone check
firewall-cmd --get-active-zones

# default zone check
firewall-cmd --get-default-zone

# 설정된 규칙 확인
firewall-cmd --list-all --zone=home

 

2) 규칙 설정

# default zone 설정
firewall-cmd --set-default-zone=<zone-name>

# 특정 영역에 인터페이스 연결 추가
# 출발지 주소규칙을 적용받지 않는 특정 네트워크 인터페이스를 통해 전송된 패킷을 특정 영역으로 연결하여 방화벽 규칙 적용
firewall-cmd --add-interface=<interface-name> --zone=<zone-name>

# 영역에 연결된 인터페이스 변경
firewall-cmd --change-interface=<interface-name> --zone=<zone-name>

 

3) 출발지 주소 규칙 추가 및 제거

# source address 규칙 추가
firewall-cmd --add-source=192.168.0.0/24 --zone=<zone-name> --permanent

# source address 규칙 제거
firewall-cmd --remove-source=192.168.0.0/24
# --permanent 옵션 사용하지 않으면 runtime 설정만 변경
# permanent 설정에 설정된 규칙은 반드시 --perrmanent 옵션 추가하여 제거

 

4) pre-defined service 규칙 추가 및 제거

# pre-defined service 추가
firewall-cmd --add-service=ssh --zone=<zone-name>

# pre-defined service 제거
firewall-cmd --list-services --zone=<zone-name>
firewall-cmd --remove-service=ssh

 

5) port 규칙 추가 및 제거

# 포트 규칙 추가
firewall-cmd --add-port=4000/tcp --zone=<zone-name>

# 포트 규칙 제거
firewall-cmd --remove-port=4000/tcp --zone=<zone-name>

 

6) 프로토콜 규칙 추가 및 제거

- TCP/UDP 프로토콜과는 다른 의미로 사용

-> 통신규약 프로토콜 자체를 의미

- /etc/protocols에서 확인가능

# 프로토콜 규칙 추가
firewall-cmd --add-protocol=icmp --zone=<zone-name>

# 제거
firewall-cmd --remove-protocol=icmp --zone=<zone-name>

 

4. 포트 포워딩

- 포트번호를 이용해서 외부에서도 내부의 시스템으로 접근 가능한 경로를 제공
- 접근하는 포트와 실제 사용하는 다른 포트를 연결하기 위해 사용

# 포트 포워딩 규칙 추가
firewall-cmd --add-forward-port=Port-Forwarding-Rule [--zone=ZONE] [--permanent]

# Port-Forwarding-Rule
port=PORT[-PORT]:proto=PROTOCOL:toport=PORT[-PORT][:toaddr=IP[/MASK]]

# port=PORT[-PORT] -> 접근하는 포트번호 (2000-2010)

# proto=PROTOCOL -> 접근 시 사용하는 프로토콜 정보 (TCP or UDP)

# toport=PORT[-PORT] -> 전달되는 포트 지정

# toaddr=IP[/MASK] -> 전달되는 시스템 주소

# ex) 모든 대상이 8888/tcp 포트로 접근하면 22/tcp 포트로 포트포워딩
firewall-cmd --add-forward-port=port=8888:proto=tcp:toport=22

# 포트 포워딩 규칙 제거
firewall-cmd --remove-forward-port=Port-Forwarding-Rule [--zone=ZONE] [--permanent]

# port-forwarding-rule 찾기
firewall-cmd --list-all --zone=<zone-name> | grep 'forward-ports'

- 중요1: 영구설정으로 규칙 변경 후 reload하여 영구설정 규칙 적용: firewall-cmd --reload

 

- 중요2: runtime 설정 -> permanent 설정 변경: firewall-cmd --runtime-to-permanent

 

5. Rich Rule

- 다양한 규칙들을 복합적으로 사용해서 세밀한 설정 가능

 

1) 관련 옵션

- 리치 규칙 추가: firewall-cmd --add-rich-rule='rule <rule-name>' [--zone=ZONE] [--permanent]

- 리치 규칙 제거: firewall-cmd --remove-rich-rule='rule <rule-name>' [--zone=ZONE] [--permanent]

- 리치 규칙 확인: firewall-cmd --list-rich-rule [--zone=ZONE]

 

2) 예제

# 문법 메뉴얼
man firewalld.richlanguage(5)에서 확인 가능

# 192.168.0.0/24 대역에서 80/tcp 포트로 접근하면 허용하도록 설정
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 service name=http accept'

# 192.168.0.0/24 대역에서 2222/tcp로 접근하면 192.168.0.10 시스템의 22/tcp로 연결하도록 포트포워딩 설정
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 forward-port port=2222 protocol=tcp to-port=22 to-addr=192.168.0.10'