CentOS/방화벽 - Firewalld - Zone(영역) 정보 확인하기




    이번 포스팅에서는 이번 포스팅에서는 Firewalld ZONE(영역) 정보 확인하는 방법에 대해서 알아보도록 하겠습니다.



    관련 글 : 


    IPTABLES 용어와 옵션 알아보기 - https://server-talk.tistory.com/169


    IPTABLES 용어와 옵션 알아보기 - https://server-talk.tistory.com/170


    IPTABLES 사용해보기 - https://server-talk.tistory.com/171



    이전 글:


    CentOS/방화벽 - Firewalld 알아보기 - https://server-talk.tistory.com/330


    CentOS/방화벽 - Firewalld 설치 및 데몬 설정하기 - https://server-talk.tistory.com/331


    CentOS/방화벽 - Firewalld - Zone(영역) 이해하기 - https://server-talk.tistory.com/333






     

     Firewalld ZONE(영역)의 정보 확인하기




    1. Firewalld - zone 목록 확인



    사용법 : firewall-cmd  --get-zones


    [root@firewalld ~]# sudo firewall-cmd  --get-zones
    
    block dmz drop external home internal public trusted work
    


    firewalld는 초기에 기본 설정으로 zone 생성되어 있습니다 



    Zone은 사용자가 요구하는 정책 허용, 특정 허용, 거부, 특정 거부 등등에 맞게 그룹으로 관리되며, 처음 설정 시 위 명령어를 실행하였을 경우 기본적으로 내장되어 있는 정책들 입니다



    Zone의 기본 종류


    Public Zone : Firewalld의 기본 영역 이며, 서비스를 제공하는 포트로 연결을 허용할 경우 사용됩니다.


    Drop Zone : 들어오는(Inbound) 모든 패킷을 버리고 응답을 하지 않습니다.


    Block Zone : 들어오는(Inbound) 모든 패킷을 거부하지만 응답 메세지를 전달합니다.


    External Zone : 라우터를 사용하여 내부 연결에 사용됩니다.


    DMZ Zone : 내부 네트워크는 제한적으로 설정하고 외부 네트워크와 접근할 경우 사용됩니다.


    Work Zone : 같은 네트워크 망에 있을지라도 신뢰하는 네트워크에만 허용할 경우 사용됩니다.


    Trusted Zone : 모든 네트워크를 허용할 경우 사용됩니다.


    Internal Zone : 내부 네트워크에 선택한 연결만 허용할 경우 사용됩니다.



    공통 : 나가는(Outbound) 패킷은 모두 허용합니다.






    2. Firewalld - 전체 Zone의 자세한 정보 확인



    사용법 : firewall-cmd  --list-all-zones


    [root@firewalld ~]# firewall-cmd  --list-all-zones
    public (active)
      target: default
      icmp-block-inversion: no
      interfaces: ens33
      sources: 
      services: dhcpv6-client ssh
      ports: 
      protocols: 
      masquerade: no
      forward-ports: 
      source-ports: 
      icmp-blocks: 
      rich rules:
    	
    
    drop
      target: DROP
      icmp-block-inversion: no
      interfaces: 
      sources: 
      services: 
      ports: 
      protocols: 
      masquerade: no
      forward-ports: 
      source-ports: 
      icmp-blocks: 
      rich rules:
    .  .  .  .  .  .  .
    .  .  .  .  .  .  .
    


    Zone 상세 정보의 의미


    public (default, active) - 공용 되는 기본 영역이며 1개 이상의 인터페이스(이더넷)을 사용할 경우 연결이 가능하기 때문에 활성화 되어 있습니다.


    interfaces [Ethernet] - 정책에 적용할 Ehternet(인터페이스) 입니다.


    sources - IP를 지정 및 영역을 나눌때 사용됩니다.


    services - ssh, http, https 등등과 같이 방화벽에서 허용되어 있는 서비스 입니다

    (firewall-cmd --get-services 명령어를 사용하면, Firewalld에 정의되어 있는 전체 서비스 목록을 확인할 수 있습니다)


    ports - 특정 포트를 허용할 경우 사용됩니다.(firewalld에 정의 되어 있지 않는 서비스를 허용할 경우 사용됩니다)


    masquerade: no - 마스커레이딩 활성화 여부 입니다.


    icmp-blocks - PING 차단 여부 입니다 차단을 원하실 경우 echo-request 를 지정하시면 됩니다.


    rich rules - 제공되는 규칙보다 복잡하여 서버 관리자가 직접 규칙을 작성하여 적용할 때 사용됩니다.





    3. Firewalld - 정의되어 있는 서비스 목록 확인


    사용법 : firewall-cmd --get-services


    [root@firewalld ~]# firewall-cmd --get-services
    ssh http https dns . . . . . .
    


    Zone 상세 정보에 service 항목에 지정하여 사용될 정의된 서비스 목록 조회하는 명령어 입니다.





    4. Firewalld - 특정 Zone 정보 확인


    사용법 : firewall-cmd --list-all --zone [Zone Name]


    [root@firewalld ~]# firewall-cmd --list-all --zone public
    public (active)
      target: default
      icmp-block-inversion: no
      interfaces: ens33
      sources: 
      services: dhcpv6-client ssh
      ports: 
      protocols: 
      masquerade: no
      forward-ports: 
      source-ports: 
      icmp-blocks: 
      rich rules:
    





    5. Firewalld - 활성화 되어 있는 Zone 정보 확인하기



    사용법 : firewall-cmd --get-active-zone


    [root@firewalld ~]# firewall-cmd --get-active-zone
    public
      interfaces: ens33
    

    --get-active-zone 옵션을 사용하여 활성화 되어 있는 zone을 확인하실 수 있으며, 기본 설정이 public만 활성화 되어 있는 것을 확인하실 수 있습니다.

    Posted by Server-talk 서버이야기