컴퓨터 / Computer

CentOS 7에서 특정 ip와 특정 포트만 허용하기

공유지기 3 19,871 2017.12.20 23:54

CentOS 7에서 일부 ip는 허용을 하고 또 일부 ip는 블럭을 할 수 있는데, 특정 ip와 특정 포트 외에는 접속하지 못하게 막고자 할때는 좀 특별한 방법을 써야 한다.

iptables 방식의 방화벽이 CentOS 7로 가니 firewalld 방식으로 바뀌었다. 그런데 처음 써 보는 방식이라 익숙해 지는데 시간이 걸렸다. 그래서 혹시나 hosts.allow와 hosts.deny로 하면 어떨까 싶어서 아래와 같이 시도를 해 보았다.

1. hosts.allow 와 hosts.deny를 이용한 방법

hosts.allow

ALL: ip1, ip2, ip3, ip4

sshd: ip5

hosts.deny

ALL: ALL

위와 같이 하면 일단 hosts.deny 에서는 모든 포트와 프로토콜을 다 막고 hosts.allow에서 4개 ip에 대해서는 전면 허용하고 ip5에 대해서는 sshd만 허용하는 식이다.

그런데 이렇게 하니 뭔가 부족했다.

2. firewalld를 이용한 방법

어느 분의 블로그 글(http://bbangpower-blog.blogspot.kr/2017/11/centos-7-firewalld-ipset-ip.html)에 보니 whitelist를 만들어 그 목록 외에는 모두 접속을 끊어버리는 방법이 있었다. 이 분은 ipset 명령어을 통해서 하라는데 잘 되지 않았다. 그래서 궁리끝에 방법을 찾아 내어 아래와 같이 적는다.

(firewalld 의 실행 방법은 적지 않는다. 그건 다른 문서들을 찾아 보심이.)

일단 whitelist 라는 ipset을 아래와 같이 만든다. 만약 특정 ip가 아니고 대역대라면 hash:ip 대신에 hash:net 으로.

firewall-cmd --permanent --new-ipset=whitelist --type=hash:ip

이제 whitelist 라는 ipset을 만들었으니 허용할 ip를 아래와 같이 넣는다.

firewall-cmd --permanent --ipset=whitelist --add-entry=ip1

firewall-cmd --permanent --ipset=whitelist --add-entry=ip2

firewall-cmd --permanent --ipset=whitelist --add-entry=ip3

firewall-cmd --permanent --ipset=whitelist --add-entry=ip4

firewall-cmd --permanent --ipset=whitelist --add-entry=ip5

그리고 위 whitelist 외에는 접속을 허용하지 않도록 아래와 같이 입력한다.

firewall-cmd --zone=public --add-rich-rule="rule source NOT ipset=whitelist drop"

이제 적용을 한다.