[Linux] Ubuntu20.04에 firewalld 방화벽 설치 및 명령어 - 2

[Linux] Ubuntu20.04에 firewalld 방화벽 설치 및 명령어 - 1

지난 포스팅에 이어 firewalld 방화벽 설치 및 명령어에 관한 내용이다.

 

---

특정 ip를 허용

1.123.34.45에 대하여 허용

sudo firewall-cmd --permanent --add-source=1.123.34.45

--permanent 옵션 추가 시 sudo firewall-cmd --reload를 통해 서비스 리로드를 해줘야 확인이 가능하다.

이전 포스팅 참고.

 

 

허용한 특정 ip를 제거

1.123.34.45에 대하여 제거

sudo firewall-cmd --permanent --remove-source=1.123.34.45

 

 

특정 ip에 대하여 특정 포트를 허용 및 제거

1.123.34.45에 대해서 80번 포트를 허용

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address=1.123.34.45 port port="80" protocol="tcp" accept'

 

 

허용한 1.123.34.45의 80번 포트를 제거

sudo firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address=1.123.34.45 port port="80" protocol="tcp" accept'

 

 

특정 ip를 차단(REJECT, DROP)

REJECT VS DROP

REJECT - 규칙과 일치하지 않는 모든 패킷을 REJECT 대상으로 구성한 영역이다.

DROP - DROP 대상으로 구성된 영역은 규칙과 일치하지 않는 모든 패킷을 삭제한다.

 

REJECT를 사용할 때 시스템은 패킷이 거부되었음을 알리는 패킷을 보낸다.

DROP을 사용하는 경우 시스템은 패킷만 덤프하고 보낸 사람에게 알리지 않는다.

 

REJECT를 사용하면 차단되었음을 알리는 응답을 해주고. DROP의 경우에는 응답하지 않고 차단

 

1.123.34.45에 대하여 차단

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address=1.123.34.45 reject'
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address=1.123.34.45 reject'

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address=1.123.34.45 drop'
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address=1.123.34.45 drop'

 

 

Reference

Firewalld Basics - Securing Your Linux System

firewall-cmd