소개
파이어월드는 리눅스 커널에서 제공하는 패킷 필터링 시스템의 프론트엔드 역할을 하는 많은 리눅스 배포판에서 사용할 수 있는 방화벽 관리 솔루션입니다. 이 가이드에서는 서버에 대한 방화벽을 설정하는 방법을 설명하고firewall-cmd
관리 도구를 사용하여 방화벽을 관리하는 기본 사항을 보여줍니다.
주: 이 글을 쓰는 시점에서 사용 가능한 것보다 최신 버전의 파이어 월드로 작업하거나 서버가 이 가이드에서 사용 된 예제 서버와 약간 다르게 설정되었을 가능성이 있습니다. 따라서 이 가이드에 설명된 일부 명령의 동작은 사용자의 특정 구성에 따라 다를 수 있습니다.
파이어 월드
에서 기본 개념 우리는 실제로 방화벽 구성을 관리하는firewall-cmd
유틸리티를 사용하는 방법에 대해 이야기를 시작하기 전에,우리는 도구가 소개 몇 가지 기본 개념에 익숙해해야합니다.
영역
firewalld
데몬은”영역”이라는 엔티티를 사용하여 규칙 그룹을 관리합니다. 영역은 기본적으로 컴퓨터가 연결된 네트워크의 신뢰 수준에 따라 허용해야 하는 트래픽을 지정하는 규칙 집합입니다. 네트워크 인터페이스에는 방화벽에서 허용해야 하는 동작을 지시하는 영역이 할당됩니다.
랩톱과 같이 네트워크 간에 자주 이동할 수 있는 컴퓨터의 경우 이러한 종류의 유연성은 환경에 따라 규칙을 변경하는 좋은 방법을 제공합니다. 당신은 당신의 홈 네트워크에 연결하면 더 편안 제한을 허용하면서,공공 와이파이 네트워크에서 작동 할 때 대부분의 트래픽을 금지하는 장소에 엄격한 규칙을 가질 수있다. 서버의 경우 네트워크 환경이 거의 변경되지 않기 때문에 이러한 영역은 즉시 중요하지 않습니다.
네트워크 환경의 동적에 관계없이firewalld
에 대해 미리 정의된 각 영역의 일반적인 개념을 숙지하는 것이 여전히 유용합니다. 최소 신뢰에서 최대 신뢰까지의 순서로firewalld
내의 미리 정의된 영역은 다음과 같습니다:
- 드롭: 신뢰의 가장 낮은 수준. 들어오는 모든 연결은 회신없이 삭제되며 나가는 연결 만 가능합니다.
- 블록:위와 비슷하지만 단순히 연결을 삭제하는 대신 들어오는 요청은
icmp-host-prohibited
또는icmp6-adm-prohibited
메시지와 함께 거부됩니다. - 공개:신뢰할 수 없는 공용 네트워크를 나타냅니다. 다른 컴퓨터를 신뢰하지 않지만 사례별로 선택한 들어오는 연결을 허용할 수 있습니다.
- 외부:방화벽을 게이트웨이로 사용하는 경우 외부 네트워크입니다. 내부 네트워크는 비공개로 유지되지만 연결할 수 있도록 냇 마스케이드에 대해 구성됩니다.
- 내부:게이트웨이의 내부 부분에 사용되는 외부 영역의 다른 측면입니다. 컴퓨터는 상당히 신뢰할 수 있으며 몇 가지 추가 서비스를 사용할 수 있습니다.
- 들어오는 특정 연결 만 허용됩니다.
- 일:일 기계를 위해 사용하는. 네트워크에 있는 대부분의 컴퓨터를 신뢰하십시오. 몇 가지 더 많은 서비스가 허용 될 수 있습니다.
- 가정:가정 환경. 그것은 일반적으로 다른 컴퓨터의 대부분을 신뢰 하 고 몇 가지 더 많은 서비스를 허용 됩니다 의미 합니다.
- 신뢰할 수 있음:네트워크의 모든 머신을 신뢰합니다. 사용 가능한 옵션의 가장 개방 및 아껴서 사용해야합니다.
방화벽을 사용하려면 규칙을 만들고 영역의 속성을 변경 한 다음 가장 적합한 영역에 네트워크 인터페이스를 할당 할 수 있습니다.
규칙 영속성
파이어월드에서 규칙은 영구적이거나 즉각적인 것으로 지정할 수 있습니다. 규칙이 추가되거나 수정되면 기본적으로 현재 실행 중인 방화벽의 동작이 수정됩니다. 다음 부팅시 이전 규칙이 되돌아갑니다.
대부분의firewall-cmd
작업은--permanent
플래그를 사용하여 임시 방화벽이 아닌 대상이어야 함을 나타낼 수 있습니다. 부팅 시 다시 로드되는 규칙 집합에 영향을 줍니다. 이 분리는 활성 방화벽 인스턴스에서 규칙을 테스트한 다음 문제가 있는 경우 다시 로드할 수 있음을 의미합니다. 또한--permanent
플래그를 사용하여 다시 로드 명령이 실행될 때 한 번에 적용되는 전체 규칙 집합을 시간에 따라 작성할 수 있습니다.
설치 및 부팅시 방화벽을 시작 할 수 있도록
firewalld
는 센토스 7 의 많은 이미지를 포함하여 일부 리눅스 배포판에 기본적으로 설치됩니다. 그러나 파이어 월드를 직접 설치해야 할 수도 있습니다:
- sudo yum install firewalld
firewalld
를 설치한 후 서비스를 활성화하고 서버를 재부팅할 수 있습니다. 파이어 월드를 활성화하면 부팅시 서비스가 시작된다는 점에 유의하십시오. 잠재적인 문제를 피하기 위해 방화벽 규칙을 만들고 이 동작을 구성하기 전에 이를 테스트하는 것이 가장 좋습니다.
- sudo systemctl enable firewalld
- sudo reboot
서버가 다시 시작되면 방화벽이 시작되고 네트워크 인터페이스가 구성한 영역에 배치되거나 구성된 기본 영역으로 대체되고 영역과 관련된 모든 규칙이 관련 인터페이스에 적용됩니다.
서비스가 실행 중인지 확인하고 다음을 입력하여 연결할 수 있습니다:
- sudo firewall-cmd --state
outputrunning
이는 방화벽이 기본 구성으로 실행 중임을 나타냅니다.
현재 방화벽 규칙에 익숙해지기
수정을 시작하기 전에 데몬이 제공하는 기본 환경과 규칙을 숙지해야 합니다.
기본값 탐색
현재 기본값으로 선택되어 있는 영역을 입력하여 확인할 수 있습니다:
- firewall-cmd --get-default-zone
outputpublic
우리는firewalld
기본 영역에서 벗어나는 명령을 제공하지 않았고 인터페이스가 다른 영역에 바인딩되도록 구성되지 않았기 때문에 해당 영역도 유일한”활성”영역(인터페이스의 트래픽을 제어하는 영역)이 될 것입니다. 우리는 입력하여 확인할 수 있습니다:
- firewall-cmd --get-active-zones
outputpublic interfaces: eth0 eth1
여기서 예제 서버에는 방화벽에 의해 제어되는 두 개의 네트워크 인터페이스(eth0
및eth1
)가 있음을 알 수 있습니다. 둘 다 현재 공용 영역에 대해 정의된 규칙에 따라 관리되고 있습니다.
공공 구역과 관련된 규칙을 어떻게 알 수 있습니까? 우리는 입력하여 기본 영역의 구성을 인쇄 할 수 있습니다:
- sudo firewall-cmd --list-all
outputpublic (default, active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
출력에서 이 영역이 기본 및 활성이고eth0
및eth1
인터페이스가이 영역과 연결되어 있음을 알 수 있습니다(이전 문의에서이 모든 것을 이미 알고 있음). 그러나 이 영역에서는 원격 관리를 위한 클라이언트와 연결된 정상적인 작업을 허용할 수도 있습니다.
대체 영역 탐색
이제 기본 및 활성 영역의 구성에 대한 좋은 아이디어가 있습니다. 우리는뿐만 아니라 다른 영역에 대한 정보를 찾을 수 있습니다.
사용 가능한 영역 목록을 가져오려면 다음을 입력합니다:
- firewall-cmd --get-zones
outputblock dmz drop external home internal public trusted work
우리--list-all
명령에--zone=
매개 변수를 포함 하 여 영역과 관련 된 특정 구성을 볼 수 있습니다:
- sudo firewall-cmd --zone=home --list-all
outputhome interfaces: sources: services: dhcpv6-client ipp-client mdns samba-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
--list-all-zones
옵션을 사용하여 모든 영역 정의를 출력할 수 있습니다. 쉽게 볼 수 있도록 출력을 호출기로 파이핑하는 것이 좋습니다:
- sudo firewall-cmd --list-all-zones | less
인터페이스 영역 선택
네트워크 인터페이스를 별도로 구성하지 않은 경우 방화벽이 부팅될 때 각 인터페이스가 기본 영역에 배치됩니다.
인터페이스 영역 변경
세션 중에--zone=
매개 변수를--change-interface=
매개 변수와 함께 사용하여 영역 간에 인터페이스를 전환할 수 있습니다. 방화벽을 수정하는 모든 명령과 마찬가지로sudo
를 사용해야 합니다.
예를 들어,우리는 이것을 입력하여eth0
인터페이스를”홈”영역으로 전환 할 수 있습니다:
- sudo firewall-cmd --zone=home --change-interface=eth0
outputsuccess
인터페이스를 새 영역으로 전환할 때마다 작동할 서비스를 수정하는 것일 수 있습니다. 예를 들어,여기서 우리는”홈”영역으로 이동하고 있습니다. 이것은 우리의 연결이 끊어 져서는 안된다는 것을 의미합니다. 이러한 영역 중 하나를 사용하는 동안 연결이 끊어진 경우,당신은 다시 로그인 할 수없는 자신을 찾을 수 있습니다.
활성 영역을 다시 요청하여 성공했는지 확인할 수 있습니다:
- firewall-cmd --get-active-zones
outputhome interfaces: eth0public interfaces: eth1
기본 영역 조정
모든 인터페이스를 단일 영역에서 가장 잘 처리 할 수 있다면 최상의 기본 영역을 선택한 다음 구성에 사용하는 것이 더 쉬울 것입니다.
--set-default-zone=
매개 변수를 사용하여 기본 영역을 변경할 수 있습니다. 이 즉시 새로운 영역에 기본값에 다시 떨어진 모든 인터페이스를 변경합니다:
- sudo firewall-cmd --set-default-zone=home
outputsuccess
응용 프로그램에 대한 규칙 설정
사용할 수 있도록 하려는 서비스에 대한 방화벽 예외를 정의하는 기본적인 방법은 간단합니다. 우리는 여기에 기본적인 아이디어를 통해 실행합니다.
영역에 서비스 추가
가장 쉬운 방법은 사용 중인 영역에 필요한 서비스 또는 포트를 추가하는 것입니다. 다시 말하지만--get-services
옵션을 사용하여 사용 가능한 서비스 목록을 가져올 수 있습니다:
- firewall-cmd --get-services
outputRH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
/usr/lib/firewalld/services
디렉터리 내의 관련.xml
파일을 보면 이러한 각 서비스에 대한 자세한 정보를 얻을 수 있습니다. 예를 들어,이 서비스는 다음과 같이 정의됩니다.2015 년
<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>
--add-service=
매개 변수를 사용하여 영역에 대한 서비스를 사용하도록 설정할 수 있습니다. 이 작업은 기본 영역 또는--zone=
매개 변수로 지정된 영역을 대상으로 합니다. 기본적으로 현재 방화벽 세션만 조정합니다. --permanent
플래그를 포함하여 영구 방화벽 구성을 조정할 수 있습니다.예를 들어,기존 웹 서버를 실행하는 경우 이 세션에 대한”공용”영역의 인터페이스에 대해 이 트래픽을 허용할 수 있습니다:
- sudo firewall-cmd --zone=public --add-service=http
기본 영역을 수정하려면--zone=
를 생략할 수 있습니다. --list-all
또는--list-services
작업을 사용하여 작업이 성공했는지 확인할 수 있습니다:
- sudo firewall-cmd --zone=public --list-services
outputdhcpv6-client http ssh
모든 것이 정상적으로 작동하는지 테스트한 후에는 재부팅 후에도 서비스를 계속 사용할 수 있도록 영구 방화벽 규칙을 수정하는 것이 좋습니다. 우리는 입력하여”공개”영역을 영구적으로 변경할 수 있습니다:
- sudo firewall-cmd --zone=public --permanent --add-service=http
outputsuccess
--list-services
작업에--permanent
플래그를 추가하여 이 작업이 성공했는지 확인할 수 있습니다. 모든--permanent
작업에sudo
를 사용해야 합니다:
- sudo firewall-cmd --zone=public --permanent --list-services
outputdhcpv6-client http ssh
이제”공개”영역에서 포트 80 에서 웹 트래픽을 허용합니다. 또한https
서비스를 추가할 수도 있습니다. 우리는 현재 세션 및 영구 규칙에 추가 할 수 있습니다-입력하여 설정:
- sudo firewall-cmd --zone=public --add-service=https
- sudo firewall-cmd --zone=public --permanent --add-service=https
어떤 적절한 서비스를 사용할 수없는 경우?
파이어 월드 설치에 포함 된 방화벽 서비스는 액세스를 허용 할 수있는 응용 프로그램에 대한 가장 일반적인 요구 사항을 많이 나타냅니다. 그러나 이러한 서비스가 요구 사항에 맞지 않는 시나리오가 있을 수 있습니다.
이 경우 두 가지 옵션이 있습니다.
영역에 대한 포트 열기
특정 응용 프로그램에 대한 지원을 추가하는 가장 쉬운 방법은 해당 영역에서 사용하는 포트를 여는 것입니다. 이 포트 또는 포트 범위 및 열 필요가 포트에 대한 관련 프로토콜을 지정하는 것만 큼 쉽습니다.
예를 들어,우리의 응용 프로그램 포트 5000 에서 실행 되 고 사용 하는 경우,우리는--add-port=
매개 변수를 사용 하 여이 세션에 대 한”공용”영역에 추가할 수 있습니다. 프로토콜은tcp
또는udp
:
- sudo firewall-cmd --zone=public --add-port=5000/tcp
outputsuccess
--list-ports
작업을 사용하여 이 작업이 성공했는지 확인할 수 있습니다:
- sudo firewall-cmd --zone=public --list-ports
output5000/tcp
범위의 시작 포트와 끝 포트를 대시로 구분하여 순차적 포트 범위를 지정할 수도 있습니다. 예를 들어,우리의 응용 프로그램을 사용 하는 경우 포트 4990 에 4999,우리는 열 수 있습니다 이러한”공개”를 입력 하 여:
- sudo firewall-cmd --zone=public --add-port=4990-4999/udp
테스트 후,우리는 가능성이 영구 방화벽에 이러한 추가 할 것입니다. 당신은 입력하여 그렇게 할 수 있습니다:
- sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
- sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
- sudo firewall-cmd --zone=public --permanent --list-ports
outputsuccesssuccess5000/tcp 4990-4999/udp
서비스 정의
영역에 대한 포트 열기는 쉽지만 각 포트마다 필요한 포트를 추적하는 것은 어려울 수 있습니다. 서버에서 서비스를 해제할 경우 열려 있는 포트가 여전히 필요한지 기억하는 데 어려움을 겪을 수 있습니다. 이 상황을 피하기 위해 서비스를 정의 할 수 있습니다.
서비스는 단순히 연결된 이름 및 설명이 있는 포트 모음입니다. 서비스를 사용하는 것은 포트보다 관리하기가 더 쉽지만 약간의 선행 작업이 필요합니다. 시작하는 가장 쉬운 방법은 기존 스크립트(/usr/lib/firewalld/services
에 있음)를 방화벽에서 비표준 정의를 찾는/etc/firewalld/services
디렉터리에 복사하는 것입니다.
예를 들어 다음과 같이”예제”서비스 정의에 사용할 서비스 정의를 복사 할 수 있습니다. 파일 이름 빼기.xml
접미사는 방화벽 서비스 목록 내의 서비스 이름을 지정합니다:
- sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml
이제 복사한 파일에 있는 정의를 조정할 수 있습니다:
sudo vi /etc/firewalld/services/example.xml
시작 하려면,파일을 복사 하는 것이 정의 포함 됩니다.:
<short>
태그 내에서 서비스의 짧은 이름을 변경할 수 있습니다. 이 이름은 서비스에서 사람이 읽을 수 있는 이름입니다. 또한 서비스를 감사해야 하는 경우 더 많은 정보를 얻을 수 있도록 설명을 추가해야 합니다. 실제로 서비스 기능에 영향을 주는 유일한 구성은 열려는 포트 번호와 프로토콜을 식별하는 포트 정의일 것입니다. 여러 번 지정할 수 있습니다.”예제”서비스의 경우 포트 7777 을 열고 8888 을 열 필요가 있다고 가정합니다. i
를 눌러 삽입 모드를 입력하면 기존 정의를 다음과 같이 수정할 수 있습니다.
<?xml version="1.0" encoding="utf-8"?><service> <short>Example Service</short> <description>This is just an example service. It probably shouldn't be used on a real system.</description> <port protocol="tcp" port="7777"/> <port protocol="udp" port="8888"/></service>
ESC
을 누른 다음:x
을 입력하여 파일을 저장하고 닫습니다.
새 서비스에 액세스하려면 방화벽 다시 로드:
- sudo firewall-cmd --reload
당신은 사용 가능한 서비스 목록 중 지금 것을 볼 수 있습니다:
- firewall-cmd --get-services
outputRH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch example freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
당신은 지금 당신의 지역에서이 서비스를 사용할 수 있습니다.
사용자 고유의 영역 만들기
미리 정의된 영역은 대부분의 사용자에게 충분할 수 있지만 해당 기능을 더 잘 설명하는 영역을 정의하는 것이 도움이 될 수 있습니다.
예를 들어,웹 서버에 대한 영역을 만들 수 있습니다. 그러나 개인 네트워크에서 제공하는 서비스에 대해 다른 영역을 구성해야 할 수 있습니다. 이를 위해”비공개”라는 영역을 원할 수 있습니다.
영역을 추가할 때는 영구 방화벽 구성에 추가해야 합니다. 그런 다음 다시 로드하여 구성을 실행 중인 세션으로 가져올 수 있습니다. 예를 들어,위에서 설명한 두 영역을 입력하여 만들 수 있습니다:
- sudo firewall-cmd --permanent --new-zone=publicweb
- sudo firewall-cmd --permanent --new-zone=privateDNS
다음을 입력하여 영구 구성에 이러한 항목이 있는지 확인할 수 있습니다:
- sudo firewall-cmd --permanent --get-zones
outputblock dmz drop external home internal privateDNS public publicweb trusted work
앞서 언급했듯이 방화벽의 현재 인스턴스에서는 아직 사용할 수 없습니다:
- firewall-cmd --get-zones
outputblock dmz drop external home internal public trusted work
방화벽을 다시 로드하여 이러한 새 영역을 활성 구성으로 가져옵니다:
- sudo firewall-cmd --reload
- firewall-cmd --get-zones
outputblock dmz drop external home internal privateDNS public publicweb trusted work
이제 영역에 적절한 서비스와 포트를 할당 할 수 있습니다. 일반적으로 활성 인스턴스를 조정 한 다음 테스트 후 해당 변경 사항을 영구 구성으로 전송하는 것이 좋습니다. 예를 들어,”퍼블릭 웹”영역에 대 한 추가 할 수 있습니다.:
- sudo firewall-cmd --zone=publicweb --add-service=ssh
- sudo firewall-cmd --zone=publicweb --add-service=http
- sudo firewall-cmd --zone=publicweb --add-service=https
- sudo firewall-cmd --zone=publicweb --list-all
outputpublicweb target: default icmp-block-inversion: no interfaces: sources: services: ssh http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
또한,우리는 우리의”개인”영역에 서비스를 추가 할 수 있습니다:
- sudo firewall-cmd --zone=privateDNS --add-service=dns
- sudo firewall-cmd --zone=privateDNS --list-all
outputprivateDNS interfaces: sources: services: dns ports: masquerade: no forward-ports: icmp-blocks: rich rules:
우리는 그들을 테스트하기 위해 이러한 새로운 영역을 통해 우리의 인터페이스를 변경할 수 있습니다:
- sudo firewall-cmd --zone=publicweb --change-interface=eth0
- sudo firewall-cmd --zone=privateDNS --change-interface=eth1
이 시점에서,당신은 당신의 구성을 테스트 할 수있는 기회를 가질 수있다. 이러한 값이 작동하는 경우 영구 구성에 동일한 규칙을 추가해야 합니다. 규칙을--permanent
플래그로 다시 적용하면 됩니다:
- sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
- sudo firewall-cmd --zone=publicweb --permanent --add-service=http
- sudo firewall-cmd --zone=publicweb --permanent --add-service=https
- sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns
이러한 규칙을 영구적으로 적용한 후에는 네트워크를 다시 시작하고 방화벽 서비스를 다시 로드할 수 있습니다:
- sudo systemctl restart network
- sudo systemctl reload firewalld
올바른 영역이 할당되었는지 확인:
- firewall-cmd --get-active-zones
outputprivateDNS interfaces: eth1publicweb interfaces: eth0
그리고 두 영역 모두에 대해 적절한 서비스를 사용할 수 있는지 확인합니다:
- sudo firewall-cmd --zone=publicweb --list-services
outputhttp https ssh
- sudo firewall-cmd --zone=privateDNS --list-services
outputdns
당신은 성공적으로 자신의 영역을 설정 한! 이러한 영역 중 하나를 다른 인터페이스의 기본값으로 설정하려면--set-default-zone=
매개 변수로 해당 동작을 구성해야 합니다:
sudo firewall-cmd --set-default-zone=publicweb
결론
당신은 이제 일상적인 사용을 위해 당신의 센토스 시스템에서 파이어월드 서비스를 관리하는 방법을 상당히 잘 이해해야 한다.
파이어월드 서비스를 사용하면 네트워크 환경을 고려한 유지 관리 가능한 규칙 및 규칙 집합을 구성할 수 있습니다. 그것은 당신이 완벽하게 영역의 사용을 통해 서로 다른 방화벽 정책 사이를 전환 할 수 있습니다 및 관리자에게 더 친화적 인 서비스 정의로 포트 관리를 추상화 할 수있는 기능을 제공합니다. 이 시스템에 대한 실무 지식을 습득하면이 도구가 제공하는 유연성과 힘을 활용할 수 있습니다.