Red Hat에서 방화벽 구성
챔버 VM은 Red Hat Enterprise Linux를 운영 체제로 실행합니다. 기본적으로 방화벽은 관리되는 서비스를 제외한 모든 인바운드 연결을 거부하도록 구성되어 있습니다. 인바운드 통신을 허용하려면 트래픽 통과를 허용하는 규칙을 방화벽에 추가해야 합니다. 마찬가지로, 더 이상 필요하지 않은 규칙은 제거해야 합니다.
이 문서에서는 가장 일반적인 방화벽 구성 명령을 소개합니다. 전체 설명서나 더 복잡한 시나리오에 대해서는 Red Hat Enterprise Linux 8 설명서의 40장. 사용 및 구성firewalld을 참조하세요.
여기에 참조된 모든 작업에는 sudo 권한이 필요하므로 챔버 관리자 역할이 필요합니다.
Important
VM은 동일한 챔버에 있는 다른 VM과만 통신할 수 있습니다. 챔버 간 트래픽은 절대로 허용되지 않으며, 방화벽 규칙을 수정해도 챔버 간 트래픽은 허용되지 않습니다.
필수 조건
- 챔버 관리자 역할이 있는 사용자 계정입니다.
열려있는 모든 포트 나열
현재 열려 있는 모든 포트와 관련 프로토콜을 나열합니다.
$ sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: cockpit dhcpv6-client ssh
ports: 6817-6819/tcp 60001-63000/tcp
protocols:
forward: no
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
트래픽을 위한 포트 열기
네트워크 트래픽을 위해 단일 또는 연속된 포트 범위를 열 수 있습니다. firewall-d에 대한 변경 내용은 일시적이며, 커밋되지 않는 한 서비스를 다시 시작하거나 다시 로드하더라도 지속되지 않습니다.
단일 포트 열기
--add-port=portnumber/porttype 옵션을 사용하여 지정된 프로토콜에 대해 firewalld로 단일 포트를 엽니다. 이 예에서는 5510/TCP 포트를 엽니다.
$ sudo firewall-cmd --add-port=33500/tcp
success
영구 집합에 규칙을 커밋합니다.
$ sudo firewall-cmd --runtime-to-permanent
success
포트의 범위 열기
--add-port=startport-endport/porttype 옵션을 사용하여 지정된 프로토콜에 대해 firewalld로 포트 범위를 엽니다. 이 명령은 작업자가 많은 수의 노드에 디스패치되고 여러 작업자가 동일한 실제 노드에 있을 수 있는 분산 컴퓨팅 시나리오에서 유용합니다. 이 예에서는 UDP 프로토콜을 사용하여 포트 5000에서 시작하여 100개의 연속된 포트를 엽니다.
$ sudo firewall-cmd --add-port=5000-5099/udp
success
영구 집합에 규칙을 커밋합니다.
$ sudo firewall-cmd --runtime-to-permanent
success
포트 규칙 제거
더 이상 필요하지 않은 규칙은 --remove-port=portnumber/porttype을 추가하고 사용하는 것과 동일한 표기법으로 제거할 수 있습니다. 이 예에서는 단일 포트를 제거합니다.
$ sudo firewall-cmd --remove-port=33500/tcp
success
영구 집합에 규칙을 커밋합니다.
$ sudo firewall-cmd --runtime-to-permanent
success