firewall-cmd accept + reject 질문

   조회 1668   추천 0    

안녕하세요. 

rocky 9 + FTP 서버를 열어야 할 일이 있어서 firewall-cmd 를 해 보다가, 질문이 생겨서 글을 올립니다. 

아이피 하나만 열어서 접근 가능하게 하고, 나머진 막으려고 했습니다.


# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="0.0.0.0/0" service name="ssh" reject'

# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="192.168.0.2" service name="ssh" accept'


위와 같이 설정하고, 클라이언트를 192.168.0.2 로 설정한 후 서버에 ssh 로 붙었는데, 못 붙더라고요.

accept 와 reject 를 순서 바꿔서 넣어도 소용없고요.


혹시 reject 가 accept 보다 설정이 우선되는 건가요? 

그렇다면 "아이피를 다 막고, 단 하나만 접근 가능" 하게 하려면 어떻게 설정해야 할까요?



이상입니다. 즐거운 하루 되시기 바랍니다. 감사합니다.

행복은 희생없이는 얻을 수 없는 것인가. 시대는 불행없이는 넘을 수 없는 것인가.
짧은글 일수록 신중하게.
제온프로 2023-02
순서를 반대로..

먼저 하나만 열어 주시고..
나머지는 All Deny

# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="192.168.0.2/32" service name="ssh" accept'
# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="0.0.0.0/0" service name="ssh" reject'

여그서..
# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="192.168.0.0/24" service name="ssh" accept'
** 로컬 LAN 에 대해서만 다 열어줌.

** 또한 이런 환경에서 방화벽 없이
로컬 영역에서만 접속할 수 있고 인터넷에서는 못 접속하게 하려면....Gateway 와 DNS를 주지 마세요.
술이 2023-02
대부분의 방화벽은 reject 가 우선이 맞기는 합니다. 그런데 엥간한 방화벽이라고 나온것들은 우선순위를 지정하는 순번이 있기에 초기값은 전부 거부로 시작하고 사용할 규칙을 오픈하는 순으로 합니다.
그리고 방화벽 오픈할때 원하는 소스만 허용하면 나머지는 전부 거부입니다. 위에 모든 아이피 거부는 빼도 될듯 싶네요.


QnA
제목Page 238/5708
2015-12   1675073   백메가
2014-05   5140456   정은준1
2024-03   1659   블루2014
2024-02   1659   미담
2024-07   1659   박문형
2023-12   1659   무쏘뿔처럼
2024-11   1659   아마데우쓰
2024-05   1660   다연우혁아빠
2022-01   1660   바람이다
2024-03   1660   워드프레스
2023-03   1660   뭐든팔아요
2022-03   1660   현정사랑
2023-07   1660   김형준1
2022-09   1660   범이님
2023-11   1660   뭐든팔아요
2023-11   1660   벤쿠버한량
2023-08   1660   galaxyfamily
2022-08   1660   metaljw
2022-12   1660   허어
2022-04   1661   osthek83
2024-09   1661   전일장
2022-03   1661   pibang