개인 웹 애플리케이션을 위한 CentOS 7 Firewalld 영역 구성

개인 웹 애플리케이션을 위한 CentOS 7 Firewalld 영역 구성

man구성하기 전에 모든 관련 페이지를 읽고 firewalld사전 설치된 모든 파일을 탐색했습니다.firewalld최대의 보안을 제공 zones하도록 구성하는 방법은 무엇입니까 ?firewallprivate web application

사용 사례는 다음과 같습니다.

1.) Twenty known users will have http/https access to the web  
    application from specific machines.  
2.) One administrator will have remote ssh login access.
3.) The app will send and receive SSL email with the 20 users, the 
    administrator, and with a known group of other users that will 
    change over time and that will be defined by the users through 
    the web application.
4.) The app includes a database, a war file, and uses various services.  
5.) All usage not described in steps 1 through 4 will be blocked.  

제가 이해한 바에 따르면 하나 이상의 영역에 인터페이스를 추가한 다음 해당 인터페이스가 있는 영역에 서비스를 추가해야 합니다. 또한 소스 IP 주소를 영역에 추가할 수 있다는 것도 알 수 있습니다. 또한 풍부한 규칙을 사용하여 구성을 정의할 수 있다는 사실도 발견했습니다. 하지만 저는 이전에 방화벽을 구성한 적이 없습니다. firewalld누군가 위의 사용 사례를 원격 웹 서버 CentOS 7의 특정 영역/인터페이스/서비스/원본 으로 변환하는 방법을 말해 줄 수 있습니까 ?

게다가 그렇게 /etc/firewalld/firewalld.conf말하더군요 . 그것은 무엇이어야 하는가 ?default zonepublicdefault zone

답변1

당신은 또한 확인해야합니다이것Fedora 위키 페이지. 가장 엄격한 방법이므로 드롭 존을 사용하고 싶을 것 같습니다.

  • IP에서 포트 22(또는 다른 SSH 포트)에 연결 firewall-cmd ---permanent -zone=home --add-forward-port=port=22:proto=tcp:toaddr=xxx.xxx.xxx.xxx하고 다음 단계에서 자신의 IP 주소를 허용할 수 있도록 고급 규칙을 만듭니다.
  • firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="xxx.xxx.xxx.xxx" allow'모든 IP 주소에 대해
  • http, https 등의 서비스 추가(이제 ​​모든 사용자가 사용 가능)firewall-cmd --permanent --zone=drop --add-service=<service>
  • firewall-cmd --reload이러한 영구 규칙을 적용하려면 실행하세요.
  • 인터페이스를 변경하여 firewall-cmd --zone=drop --add-interface=<interface>이전 영역에서 제거해야 할 수도 있습니다. ( firewall-cmd --list-all-zonesfirewalld가 인터페이스가 여러 영역에 있을 수 있도록 허용하는지 확인하세요.)
  • SSH 액세스가 끊어지지 않았다면 모든 것이 작동해야 합니다. 마지막 명령을 다시 실행해야 하지만 이제는 --permanent 스위치를 사용합니다.

하지만 웹 애플리케이션의 특정 사용자 목록에 대한 액세스를 어떻게 허용하시겠습니까? 물론 제가 설명한 구성은 각 사용자가 고정 IP 주소를 가지고 있는 경우에만 작동합니다.

편집: 다음은 영역 개념에 대한 간단한 설명입니다. 이 기능은 실제로 서버에는 덜 유용하지만 더 좋은 예는 랩탑입니다. 집에 있을 때 dlna를 통해 자동으로 음악을 공유할 수 있습니다. 이 경우 홈 영역에서 dlna 포트를 열고 홈 WiFi 또는 이더넷 LAN에 있는 경우 방화벽 영역을 홈으로 전환하도록 NetworkManager를 구성합니다. 그러나 public공용 WiFi 핫스팟에 가입하면 자동으로 공용 네트워크에 대해 다른 규칙이 적용되며 이 공유를 활성화하면 안 되기 때문에 기본 영역이 되어야 합니다 . 예를 들어 홈 네트워크 외부에서 SSH를 통해 홈 서버에 액세스하려는 경우 방화벽 규칙이 아닌 다른 보안 기술을 사용하려면 방화벽을 "공용"으로 구성하고 기본적으로 SSH 포트의 어느 곳에서든 연결을 허용해야 합니다. . 이 매우 취약한 SSH 액세스를 보호하려면 클라이언트 인증서 인증과 IP 이동 변경이 발생할 때 무차별 대입 공격을 식별하고 차단할 수 있는 fall2ban이라는 프로그램만 사용하도록 구성해야 합니다. 웹 서버에는 액세스 제한과 같은 특정 기능도 있습니다.

관련 정보