2023/06/21(예비군) Firewald

Firewalld의 영역 
   1) Run-time
   2) Permanent

 

 

 

permanet에 저장하고 runtime으로 불러오는 방법

firewalld 기본값 (영역) 초기세팅
   - dmz
      ○ Inbound : 모두 거부 (SSH만 허용)
      ○ Outbound : 모두 허용

   - public
      ○ Inbound : 모두 거부 (SSH, DHCPv6 Client 허용)
      ○ Outbound : 모두 허용
   
   - drop
      ○ Inbound : 모두 거부 
      ○ Outbound : 모두 허용
   
   - tursted
      ○ Inbound : 모두 허용
      ○ Outbound : 모두 허용

firewalld -cmd (명령어) Firewalld 데몬을 활용한 규칙 설정 시 사용되는 명령어

[ 옵션  ]
--permanet 영구적 설정을 의미
--reload 영구적 설정에 정의도니 규칙을 런타임에 적용
--add-service="서비스명" 해당 서비스 규칙 추가
--remove-sevice="서비스명" 해당 서비스 규칙 추가
--add-port=[PORT]/[Protocol] 해당 Port 규칙 추가
--remove-port=[Port]/[Protocol] 해당 Port 규칙 제거
--list-all 적용되어 있는 규칙 확인

영구적으로 서비스를 허용하기 위해서는 permanet영역에 서비스를 추가하고 reload한다.
# firewall-cmd --permanent --add-service=http
# firewall-cmd --reload 


=========================================================================

tcp_wrapper
사용자가 tcp 전용서비스로 들어올때 접근제어를 쉽게 구현할 수 있다.
firewalld = 포트번호를 검증
tcp_wrapper = 사용자를 검증
/etc/hosts.allow /etc/hosts.deny
all deny / 선택적 allow 화이트리스트 정책 ; allow가 우선순위가 더 높다.

All:ALL (모든 서비스에 대해서, 모든 사용자 거부)
제어할 서비스 명 : 호스트(클라이언트 정보)
ex) sshd:1.1.1.1

 

 

 

[ DHCP (Dynamic Host Configuration Protocol) ]

[ DHCP 서비스 ]

   - 클라이언트 컴퓨터나 다른 TCP/IP 기반 네트워크 장치에 IP 주소를 제공하는 서비스
   - IP와 함께 라우터(G/W), DNS 서버 같은 네트워크 리소스와 연결할 수 있도록 옵션 제공
   - DHCP 클라이언트에 특정 기간 IP를 임대하여 갱신을 요청하는 경우 IP 주소를 갱신
   - 특정 컴퓨터나 장치에 IP주소 예약이 가능하다. + client의 MAC address 주소
   - Port 번호는 Server( UDP : 67 ), Client( UDP : 68 ) 사용한다.

[ DHCP 주소 임대 과정 ] DORA < Broadcast - 유니캐스트는 출발지 목적지 IP주소가 필요하다.
   1. DHCP Discover client to server   주소를 요청
   2. DHCP Offer     server to client   사용할 주소를 제공
   3. DHCP Request  client to server   제공받는 주소 사용을 승인
   4. DHCP ACK      server to client   주소 사용 승인


# yum -y install dhcp*

 

참조 파일


실습

192.168.1.0/24 대역대를 서비스하는 DHCP 서비스 구축
옵션 GW(192.168.1.2 DNS 8.8.8.8
예약 WIN10(Client) 192.168.1.10/24
테스트 Client PC에서 IP주소를 자동할당하여 원하는 IP주소가 부여되었는지를 확인
참고 Windows Client DHCP 관련 CMD 명령어
>. ipconfig /renew   ( IP주소 임대요청 및 재 갱신 요청 명령어 )
>. ipconfig /release  ( IP주소 임대 해제 )

만약 169.254.x.x/16 대역대에 해당하는 IP주소를 임대받은 경우 DHCP 서비스를 제대로 사용하지 못한 상태s

# vi /etc/dhcpd/dhcpd.conf

subnet 192.168.1.0 netmask 255.255.255.0 {
   range 192.168.1.10 192.168.1.50;
   option routers 192.168.1.2;
   option domain-name-servers 8.8.8.8;
   max-lease-time 7200;
}

host win10 {
   hardware ethernet MAC address
   fixed-address 192.168.1.10
}
   
ncpa.cpl > 자동설정 
cmd > ipconfig /renew