firewall-cmd accept + reject 질문

   조회 1670   추천 0    

안녕하세요. 

rocky 9 + FTP 서버를 열어야 할 일이 있어서 firewall-cmd 를 해 보다가, 질문이 생겨서 글을 올립니다. 

아이피 하나만 열어서 접근 가능하게 하고, 나머진 막으려고 했습니다.


# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="0.0.0.0/0" service name="ssh" reject'

# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="192.168.0.2" service name="ssh" accept'


위와 같이 설정하고, 클라이언트를 192.168.0.2 로 설정한 후 서버에 ssh 로 붙었는데, 못 붙더라고요.

accept 와 reject 를 순서 바꿔서 넣어도 소용없고요.


혹시 reject 가 accept 보다 설정이 우선되는 건가요? 

그렇다면 "아이피를 다 막고, 단 하나만 접근 가능" 하게 하려면 어떻게 설정해야 할까요?



이상입니다. 즐거운 하루 되시기 바랍니다. 감사합니다.

행복은 희생없이는 얻을 수 없는 것인가. 시대는 불행없이는 넘을 수 없는 것인가.
짧은글 일수록 신중하게.
제온프로 2023-02
순서를 반대로..

먼저 하나만 열어 주시고..
나머지는 All Deny

# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="192.168.0.2/32" service name="ssh" accept'
# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="0.0.0.0/0" service name="ssh" reject'

여그서..
# firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="192.168.0.0/24" service name="ssh" accept'
** 로컬 LAN 에 대해서만 다 열어줌.

** 또한 이런 환경에서 방화벽 없이
로컬 영역에서만 접속할 수 있고 인터넷에서는 못 접속하게 하려면....Gateway 와 DNS를 주지 마세요.
술이 2023-02
대부분의 방화벽은 reject 가 우선이 맞기는 합니다. 그런데 엥간한 방화벽이라고 나온것들은 우선순위를 지정하는 순번이 있기에 초기값은 전부 거부로 시작하고 사용할 규칙을 오픈하는 순으로 합니다.
그리고 방화벽 오픈할때 원하는 소스만 허용하면 나머지는 전부 거부입니다. 위에 모든 아이피 거부는 빼도 될듯 싶네요.


QnA
제목Page 238/5708
2015-12   1675650   백메가
2014-05   5140999   정은준1
2024-03   1660   워드프레스
2022-03   1660   현정사랑
2022-09   1660   범이님
2023-11   1660   뭐든팔아요
2023-11   1660   벤쿠버한량
2024-03   1660   블루2014
2024-07   1660   박문형
2023-12   1660   무쏘뿔처럼
2022-04   1661   osthek83
2022-03   1661   pibang
2023-02   1661   전설속의미…
2024-07   1661   Sakura24
2023-08   1661   미수맨
2023-03   1661   뭐든팔아요
2023-07   1661   김형준1
2022-04   1661   꾸띠웍
2023-08   1661   galaxyfamily
2024-02   1661   린드버그
2023-12   1661   프리레벨
2022-12   1661   허어