CentOS에서의 Firewalld, Iptables, Nftables로 보는 방화벽 정리

[Linux]

CentOS에서의 Firewalld, Iptables, Nftables로 보는 방화벽 정리

팡펑퐁 2023. 5. 15. 21:55

728x90

💡 오늘 회사에서 방화벽에 대한 이해 없이 NginX의 config를 만졌다가 삽질을 해버렸기 때문에 간단히 정리하려고 한다.

Firewalld

리눅스 운영 체제를 위한 방화벽 관리 도구이다.
네트워크 연결 또는 인터페이스의 신뢰 수준을 정의하는 네트워크/방화벽 영역을 지원하는 동적으로 관리되는 방화벽을 제공한다.
IPv4, IPv6 방화벽 설정, 이더넷 브리지 및 IP 세트를 지원한다. 런타임 및 영구 구성 옵션이 분리되어 있다.
서비스 또는 애플리케이션이 방화벽 규칙을 직접 추가할 수 있는 인터페이스를 제공한다.

Iptables

시스템 관리자가 리눅스 커널 방화벽이 제공하는 테이블들과 그것을 저장하는 체인, 규칙들을 구성할 수 있게 해주는 응용프로그램이다.

Nftables

네트워크 패킷, 데이터그램, 프레임의 필터링 및 분류를 제공하는 리눅스 커널의 하위 시스템이다.

CentOS 버전별 방화벽

OS	~ CentOS 6	CentOS 7	CentOS 8 ~
방화벽 설정 도구	iptables	firewalld	firewalld
방화벽 기능	iptables	iptables	nftables

위의 표를 보면 방화벽 기능을 제공하는 유틸리티와 방화벽 설정 도구로 사용되는 유틸리티가 다르다. 이 점을 유의하자.

Firewalld와 Iptables의 차이점

설정 저장 경로

Firewalld의 방화벽 설정에 대한 내용은 /usr/lib/firewalld나 /etc/firewalld 디렉터리에 있는 다양한 파일에 저장된다.
Iptables의 방화벽 설정에 대한 내용은 /etc/sysconfig/iptables에 저장된다.

변경 사항 적용

Firewalld는 설정 변경 사항이 있을 때 변경 사항만 반영하여 기존 연결을 중단하지 않고 런타임 중에 설정을 변경할 수 있다.
Iptables는 설정 변경 사항이 있을 때 모든 규칙이 삭제되고 다시 적용되어 연결이 중단된다.

Firewalld 주요 명령어

방화벽에 등록된 포트 전체 리스트 조회

sudo firewall-cmd --list-all

방화벽 서비스 재구동

sudo firewall-cmd --reload

방화벽 포트 등록

# --permanent를 사용하지 않으면 서버 방화벽 서비스가 꺼질 때 포트번호가 날아감
firewall-cmd --permanent --zone=public --add-port={포트번호}/tcp

방화벽 서비스 등록

firewall-cmd -- permanent --add-service=[서비스명] # ex)http, https, ssh 등

참고

https://ko.wikipedia.org/wiki/Iptables

https://ko.wikipedia.org/wiki/Firewalld

https://ko.wikipedia.org/wiki/Nftables

https://firewalld.org/

https://lifeplan-b.tistory.com/188

https://it-serial.tistory.com/entry/리눅스-CentOS-7-방화벽-포트Port

728x90