• 칠성상회
  • 북마크
  • 접속자 76
  • 새글
  • 추천 태그

컴퓨터

CentOS 7에서 특정 ip와 특정 포트만 허용하기

80 2017.12.20 23:54

짧은주소

본문

CentOS 7에서 일부 ip는 허용을 하고 또 일부 ip는 블럭을 할 수 있는데, 특정 ip와 특정 포트 외에는 접속하지 못하게 막고자 할때는 좀 특별한 방법을 써야 한다.

iptables 방식의 방화벽이 CentOS 7로 가니 firewalld 방식으로 바뀌었다. 그런데 처음 써 보는 방식이라 익숙해 지는데 시간이 걸렸다. 그래서 혹시나 hosts.allow와 hosts.deny로 하면 어떨까 싶어서 아래와 같이 시도를 해 보았다.

 

1. hosts.allow 와 hosts.deny를 이용한 방법

 

hosts.allow

 ALL: ip1,  ip2,  ip3,  ip4

sshd: ip5

 

 

hosts.deny

 

 ALL: ALL

 

위와 같이 하면 일단 hosts.deny 에서는 모든 포트와 프로토콜을 다 막고 hosts.allow에서 4개 ip에 대해서는 전면 허용하고 ip5에 대해서는 sshd만 허용하는 식이다.

 

그런데 이렇게 하니 뭔가 부족했다.

 

2. firewalld를 이용한 방법

 

어느 분의 블로그 글(http://bbangpower-blog.blogspot.kr/2017/11/centos-7-firewalld-ipset-ip.html)에 보니 whitelist를 만들어 그 목록 외에는 모두 접속을 끊어버리는 방법이 있었다. 이 분은 ipset 명령어을 통해서 하라는데 잘 되지 않았다. 그래서 궁리끝에 방법을 찾아 내어 아래와 같이 적는다.

(firewalld 의 실행 방법은 적지 않는다. 그건 다른 문서들을 찾아 보심이.)

 

일단 whitelist 라는 ipset을 아래와 같이 만든다. 만약 특정 ip가 아니고 대역대라면 hash:ip 대신에 hash:net 으로.

 

 firewall-cmd --permanent --new-ipset=whitelist --type=hash:ip

 

이제 whitelist 라는 ipset을 만들었으니 허용할 ip를 아래와 같이 넣는다. 

 

 firewall-cmd --permanent --ipset=whitelist --add-entry=ip1

 firewall-cmd --permanent --ipset=whitelist --add-entry=ip2 

 firewall-cmd --permanent --ipset=whitelist --add-entry=ip3 

 firewall-cmd --permanent --ipset=whitelist --add-entry=ip4 

 firewall-cmd --permanent --ipset=whitelist --add-entry=ip5 

 

그리고 위 whitelist 외에는 접속을 허용하지 않도록 아래와 같이 입력한다.

 

 firewall-cmd --zone=public --add-rich-rule="rule source NOT ipset=whitelist drop"

 

이제 적용을 한다.

 

 firewall-cmd --reload

 

특정 ip에서 80포트만 접속할 수 있게 설정한 public.xml 예제이다.

 

 <?xml version="1.0" encoding="utf-8"?>

<zone>

  <short>Public</short>

  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming con

nections are accepted.</description>

  <service name="ssh"/>

  <service name="dhcpv6-client"/>

  <service name="mysql"/>

  <port protocol="tcp" port="80"/>

  <rule>

    <source ipset="whitelist" invert="True"/>

    <drop/>

  </rule>

</zone>


 

 

 

 

 

 

 

참고

 - https://conory.com/blog/42477 : 방화벽 설정하는 법이 나와 있음

 - http://bbangpower-blog.blogspot.kr/2017/11/centos-7-firewalld-ipset-ip.html : 이 글을 쓰는데 매우 크게 도움이 됨

 - http://www.firewalld.org/2015/12/ipset-support : 바로 윗 글만으로 부족해서 이 글을 참고함. 역시 도움이 크게 되었음.

0
좋아요!
0
좋아요!
댓글목록

등록된 댓글이 없습니다.

Total 26건 1 페이지
제목
공유지기 아이디로 검색 2018.01.18 20 0 0
공유지기 아이디로 검색 2018.01.18 16 0 0
공유지기 아이디로 검색 2017.12.24 61 0 0
공유지기 아이디로 검색 2017.12.23 86 0 0
공유지기 아이디로 검색 2017.12.20 81 0 0
공유지기 아이디로 검색 2017.12.20 78 0 0
공유지기 아이디로 검색 2017.12.20 118 0 0
공유지기 아이디로 검색 2017.12.20 83 0 0
공유지기 아이디로 검색 2017.12.19 178 0 0
공유지기 아이디로 검색 2017.11.26 243 0 0
공유지기 아이디로 검색 2017.11.03 321 0 0
공유지기 아이디로 검색 2017.09.17 465 0 0
공유지기 아이디로 검색 2017.09.16 402 0 0
공유지기 아이디로 검색 2017.07.28 823 0 0
공유지기 아이디로 검색 2017.07.21 699 0 0
공유지기 아이디로 검색 2017.07.03 1,152 0 0
공유지기 아이디로 검색 2017.07.03 889 0 0
공유지기 아이디로 검색 2017.07.02 856 0 0
공유지기 아이디로 검색 2017.03.21 1,500 0 0
공유지기 아이디로 검색 2017.03.09 1,530 0 0