초보자의 필기

이것은 Firewalld 초보자의 학습 노트입니다.

Firewalld에서 NIC 단위로 화벽을 설정합니다.

기본값이 변경된 설정은/etc/firewalld의 xml 파일에 기록됩니다

사용자가 설정한 xml에 이상이 생겼을 때/usr/lib/firewalld의 기본 설정

을 사용합니다

기본적으로 eth0을public구역으로 설정합니다.

그림 필터링

Commands

현재 설정 보기firewall-cmd --zone=public --list-allpublic에서 서비스 ssh 떼기firewall-cmd --zone=public --remove-service=ssh --permanent응답하지 않음 pingfirewall-cmd --zone=public --add-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent여러 조건으로 필터링

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="ssh" accept' --permanent

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="samba" accept' --permanent

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" port port="22" protocol="tcp" accept'

반영 설정firewall-cmd --reloadNIC의 영역 변경firewall-cmd --zone=work --change-interface=eth0 --permanent

기본 영역(public)을 실행할 때 "--zone = public"

를 생략할 수 있습니다.

"--permanent"를 추가하지 않으면 설정을 즉시 반영하지만 다시 시작하거나 "--reload"를 추가하면 설정에서 벗어납니다

IP 마스카라

firewall-cmd --zone=public --add-masquerade --permanent firewall-cmd --zone=trusted --add-masquerade --permanent firewall-cmd --permanent --direct --add-rule ipv4 nat POSTROUTING 0 -o eth0 -j MASQUERADE firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i tun0 -o eth0 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

NFQUEUE

firewall-cmd --zone=public --permanent --direct --add-rule ipv4 filter OUTPUT 0 -d 8.8.8.8 -j NFQUEUE --queue-num 1 firewall-cmd --zone=public --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp5s0 -j NFQUEUE --queue-num 1