What is UFW?
Uncomplicated Firewall의 약자로 Ubuntu 및 Debian 계열의 리눅스 배포판에서 간편하게 방화벽을 관리할 수 있도록 설계된 도구이며, Netfilter 기반의 iptables를 쉽게 다룰 수 있도록 만든 명령어
Command
Install Package
apt install -y ufw기본 명령어
ufw enableufw 활성화
ufw disableufw 비활성화
ufw status verboseufw 상태 확인
ufw reset룰 초기화
규칙 추가
ufw allow [Port]Port 허용
ufw allow [Port]/[Protocol]Port, Protocol 허용
ufw allow proto [Protocol] from any to any port [Port]Port, Protocol 허용
ufw allow from [IP_Address]특정 IP에서 들어오는 모든 트래픽 허용
ufw allow from [IP_Address]/[Prefix]특정 Subnet에서 들어오는 트래픽 허용
ufw allow in on [Network_Interface]Network Interface에서 들어오는 모든 트래픽 허용
규칙 삭제
ufw delete allow [Port]Port 허용 규칙 삭제
ufw delete allow from [IP_Address]특정 IP에서 오는 허용 규칙 삭제
ufw status numbered번호가 있는 규칙 목록 확인
ufw delete [Number]Number 규칙 삭제
트래픽 차단
ufw deny [Port]Port 차단
ufw deny from [IP_Address]특정 IP에서 오는 모든 트래픽 차단
ufw deny in on [Network_Interface]Network Interface에서 들어오는 모든 트래픽 차단
ufw deny proto [Protocol] from any to any port [Port]Port, Protocol 차단
vim /etc/ufw/before.rules
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPTICMP 허용
ACCEPT 부분을 DROP으로 변경 시 ping 요청이 거부됨.
로그 관리
ufw logging on방화벽 로그 활성화
ufw logging off방화벽 로그 비활성화
ufw logging low최소한의 로그 기록
ufw logging medium기본 로그 기록
ufw logging high상세한 로그 기록
ufw logging full모든 트래픽 로그 기록
기본 정책 설정
ufw default deny incoming기본적으로 모든 들어오는 트래픽 차단
ufw default allow outgoing기본적으로 모든 나가는 트래픽 허용
ufw default deny outgoing기본적으로 모든 나가는 트래픽 차단
ufw default allow incoming기본적으로 모든 들어오는 트래픽 허용
애플리케이션별 방화벽 설정
ufw app listUFW가 관리하는 애플리케이션 목록 확인
ufw app info [Service_Name]Service의 방화벽 설정 확인
ufw allow [Service_Name]Service 허용
클라우드 엔지니어가 목표인 학생
0개의 댓글
