애플리케이션을 중단하지 않고 방화벽을 활성화하는 방법은 무엇입니까?

동일한 LAN에 여러 CentOS 7 시스템이 있습니다. 각 애플리케이션은 여러 다른 애플리케이션과 통신하며 각각 다양한 포트(데이터베이스, 웹 서버, 로드 밸런싱 서비스 등)에서 수신 대기하는 하나 이상의 애플리케이션이 설치되어 있습니다. 일반적인 네트워크 아키텍처 관련 내용입니다.

이제 firewalld이 모든 기능이 비활성화되었습니다 . 모든 곳에서 활성화하고 싶습니다.

일반적으로 다음과 같습니다.

1. systemctl enable firewalld
2. systemctl start firewalld
3. firewall-cmd <...>(포트, 소스, 서비스 등 추가)

문제는 일단 방화벽 서비스를 시작하면 기본적으로 3단계를 수행할 기회가 생길 ^때까지 대부분의 콘텐츠1를 차단한다는 것입니다. 그리고 추가해야 하는 구성(포트, 소스)의 양을 고려할 때 서비스를 알아내기 전까지는 기본적으로 서비스를 사용할 수 없거나 액세스할 수 없게 됩니다.

제가 가장 중요하게 생각하는 기능은 다음과 같습니다.

• 일부 시스템에서 GlusterFS를 사용하여 네트워크 파일 시스템을 생성한 다음 이를 다른 시스템에 마운트하고 있습니다.
• 저는 Corosync + Pacemaker를 사용하여 일부 시스템 간에 몇 개의 클러스터를 생성하고 있으며 이러한 도구는 다양한 포트를 사용하여 하트비트와 유사한 기능을 구현합니다.

이러한 시스템에서 방화벽을 켜면 명령문을 많이 실행할 수 있을 때까지 모든 서비스가 즉시 차단됩니다 firewall-cmd <...>. 나는 이것의 결과를 모른다.

---

내 질문은: 2단계 전에 3단계를 수행할 수 있는 방법이 있습니까? 이렇게 하면 서비스를 열 때 모든 것이 제자리에 있게 됩니다.

/etc/firewalld/zones내 유일한 아이디어는 폴더의 XML 파일을 수동으로 편집하는 것입니다 . 그러나 이것은 매우 오류가 발생하기 쉬운 것 같습니다. 특히 그러한 편집을 쉽게 할 수 있을 만큼 방화벽에 익숙하지 않기 때문입니다.

---

¹ = 내가 아는 한 포트 80/443(HTTP/HTTPS) 및 22(SSH)만 열리고 다른 모든 포트는 명시적으로 열 때까지 차단됩니다.