firewalld처음으로 설정을 하려고 합니다 . 추가하고 싶은 두 가지 유형의 규칙이 있습니다.
- 특정 소스의 특정 포트에서만 트래픽을 허용하는 규칙입니다.
- 특정 소스의 모든 트래픽을 허용하는 규칙입니다.
이제 "myZone"이라는 새 영역을 생성한다고 가정해 보겠습니다. 의 모든 트래픽을 허용 10.95.0.0/16하고 의 LDAP 관련 트래픽만 허용하고 싶습니다 10.96.59.23.
그래서 "myZone"에 소스를 추가합니다.
firewall-cmd --permanent --zone=myZone --add-source=10.95.0.0/16
firewall-cmd --permanent --zone=myZone --add-source=10.96.59.23
이제 트래픽을 허용할 LDAP 포트를 추가할 차례입니다.
firewall-cmd --zone=myZone --add-port=389/tcp
그러나 이것이 정확히 무엇을 할 것인가? 이것이 "myZone"의 모든 소스에 적용되고 있다고 생각합니까? 10.96.59.23LDAP 트래픽만 제한 하고 10.95.0.0/16. 나는 여기서 근본적인 것을 놓치고 있다는 느낌을 받았습니다.
이론적으로 저는 "workstationZone"과 "ldapZone"이라는 두 개의 영역을 만들 수 있다고 생각했습니다. 그런 다음 포트 389를 "ldapZone"에 할당할 수 있습니다. 그러나 단일 인터페이스에 여러 영역을 할당할 수는 없는 것 같습니다.
# firewall-cmd --zone workstationZone --add-interface ens32 --permanent
success
# firewall-cmd --zone ldapZone --add-interface ens32 --permanent
success
#firewall-cmd --get-active-zones
workstationZone
interfaces: ens32
sources: 10.95.0.0/16
ldapZone
sources: 10.96.59.23
나는 위에서 내 "ens32" 인터페이스가 두 영역 모두에 추가되기를 바랐습니다.
내가 본 또 다른 옵션은 "풍부한 규칙"을 사용하는 것입니다. 그러나 유지 관리가 어렵기 때문에 사용을 피하라는 권장 사항이 많이 있는 것 같습니다.
다시 말하지만, 완전히 근본적인 것을 놓치고 있는 것 같지만 몇 가지 가이드를 읽어도 이해가 되지 않습니다. 누구든지 나를 바로잡는 데 도움을 주시면 정말 감사하겠습니다.
답변1
허용되는 트래픽이 소스/인터페이스마다 다른 경우 새 영역을 생성해야 합니다. 영역은 허용되는 트래픽 집합을 정의한 다음 이를 지정된 인터페이스 및/또는 소스 네트워크에 적용합니다.
예를 들어, 모든 트래픽을 허용하는 영역(기본적으로 이미 존재함, 이라고 함 trusted), LDAP 트래픽을 허용하는 또 다른 영역, 일부 다른 서비스 세트를 허용하는 또 다른 영역을 가질 수 있습니다.
인터페이스나 소스는 하나의 영역에만 있을 수 있으므로 각 인터페이스나 소스를 하나의 영역에 할당해야 하며 해당 영역에서 허용하는 트래픽이 해당 인터페이스나 소스에 적용됩니다. 이는 다른 영역을 생성해야 함을 의미할 수도 있지만 이는 전혀 문제가 되지 않습니다.
너를 기억한다해서는 안 된다--permanent규칙이 만족스러울 때까지 사용하세요 . 그렇지 않으면 오타로 인해 자신이 잠길 수 있으며 복구를 위해 복구 환경으로 부팅해야 할 수도 있습니다. 대신 규칙을 추가하고 만족스러우면 모두 작동하고 firewall-cmd --runtime-to-permanent저장하는 데 사용하세요. (그리고 오타로 인해 자신이 잠긴 경우 방화벽을 다시 시작하지 않으면 컴퓨터가 저장되지 않은 모든 변경 사항을 되돌립니다.)
또한 타이핑 시간을 절약하세요. Zone영역 이름의 단어 가 중복됩니다.