소개
UFW 또는 Uncomplicated Firewall은 iptables 및 nftables과 같은 하위 수준 패킷 필터링 기술의 복잡성을 숨기는 간소화된 방화벽 관리 인터페이스입니다. 네트워크를 보호하기 시작하려는 경우에 사용할 도구를 모르는 경우, UFW가 적합할 수 있습니다.
이 튜토리얼에서는 Debian 11에서 UFW를 사용하여 방화벽을 설정하는 방법을 보여줍니다.
전제 조건
이 튜토리얼을 따르려면, 루트가 아닌 sudo 사용자가있는 Debian 11 서버가 필요합니다. 이를 위해 Debian 11 초기 서버 설정 튜토리얼의 단계 1에서 3을 따르면 됩니다.
단계 1 – UFW 설치
데비안은 기본적으로 UFW를 설치하지 않습니다. 전체 초기 서버 설정 튜토리얼을 따랐다면 UFW를 설치하고 활성화했을 것입니다. 그렇지 않은 경우, 지금 바로 apt를 사용하여 설치하십시오:
다음 단계에서 UFW를 설정하고 활성화합니다.
단계 2 — UFW와 IPv6 사용하기 (선택 사항)
이 튜토리얼은 IPv4를 기준으로 작성되었지만, IPv6를 사용할 경우도 작동합니다. 데비안 서버가 IPv6를 사용하도록 설정된 경우, UFW가 IPv6를 지원하도록 구성되어 있는지 확인해야 합니다. 이렇게 하면 UFW가 IPv4뿐만 아니라 IPv6에 대한 방화벽 규칙을 관리하게 됩니다. 이를 구성하려면 UFW 구성 파일 /etc/default/ufw을 nano나 원하는 편집기로 엽니다:
파일에서 IPV6을 찾아 값이 yes로 설정되어 있는지 확인하십시오:
IPV6=yes
파일을 저장하고 닫습니다. nano를 사용하는 경우, 저장하고 나가려면 CTRL+X, 그런 다음 Y, 그리고 ENTER를 누르십시오.
이제 UFW가 활성화되면 IPv4와 IPv6 방화벽 규칙을 모두 작성하도록 구성됩니다. 그러나 UFW를 활성화하기 전에 방화벽이 SSH를 통해 연결할 수 있도록 구성되었는지 확인해야 합니다. 먼저 기본 정책을 설정하세요.
단계 3 — 기본 정책 설정
방화벽을 처음 설정하는 경우 정의해야 할 첫 번째 규칙은 기본 정책입니다. 이러한 규칙은 명시적으로 다른 규칙과 일치하지 않는 트래픽을 처리합니다. 기본적으로 UFW는 모든 들어오는 연결을 거부하고 모든 나가는 연결을 허용하도록 설정되어 있습니다. 이는 서버에 연결하려는 사용자는 연결할 수 없지만 서버 내의 애플리케이션은 외부와 통신할 수 있다는 것을 의미합니다.
이 튜토리얼을 따라갈 수 있도록 UFW 규칙을 기본값으로 다시 설정하세요. UFW에서 사용하는 기본값을 설정하려면 다음 명령을 사용하십시오:
다음과 같은 출력을 받게 됩니다:
OutputDefault incoming policy changed to 'deny'
(be sure to update your rules accordingly)
Default outgoing policy changed to 'allow'
(be sure to update your rules accordingly)
이 명령은 들어오는 연결을 거부하고 나가는 연결을 허용하기 위해 기본값을 설정합니다. 이 방화벽 기본값만으로는 개인용 컴퓨터에 적합할 수 있지만, 일반적으로 서버는 외부 사용자로부터의 들어오는 요청에 응답해야 합니다. 다음 단계에서 이 프로세스를 시작하겠습니다.
단계 4 — SSH 연결 허용
당신은 아직 UFW 방화벽을 활성화할 수 없습니다. 왜냐하면 이렇게 하면 서버에 대한 액세스를 포함한 모든 들어오는 연결이 거부될 것입니다. 이는 원하는 경우 서버가 이러한 유형의 요청에 응답하도록 하려면 명시적으로 유효한 들어오는 연결(SSS 또는 HTTP 연결과 같은)을 허용하는 규칙을 생성해야 함을 의미합니다. 클라우드 서버를 사용하는 경우 서버에 연결하고 관리하기 위해 들어오는 SSH 연결을 허용하고 싶어할 것입니다.
들어오는 SSH 연결을 허용하도록 서버를 구성하려면 다음 명령을 사용하십시오:
이 명령을 사용하면 기본적으로 SSH 데몬이 수신 대기하는 포트인 22에서 모든 연결을 허용하는 방화벽 규칙이 생성됩니다. UFW는 서비스로 allow ssh가 나열되어 있기 때문에 어떤 포트가 이 서비스와 연결되어 있는지 압니다. /etc/services 파일에 기록되어 있습니다.
그러나 서비스 이름 대신 포트를 지정하여 동등한 규칙을 작성할 수도 있습니다. 예를 들어, 이 명령은 위의 명령과 동일한 결과를 생성합니다:
SSH 데몬을 다른 포트를 사용하도록 구성했다면 해당 포트를 지정해야 합니다. 예를 들어, SSH 서버가 포트 2222에서 수신 대기하는 경우 동일한 명령을 사용하지만 22 대신 2222로 바꿀 수 있습니다.
이제 방화벽이 들어오는 SSH 연결을 허용하도록 구성되었으므로 활성화할 수 있습니다.
단계 5 — UFW 활성화
UFW를 활성화하려면 다음 명령을 사용하십시오:
경고 메시지가 표시되며 해당 명령이 기존 SSH 연결을 방해할 수 있다는 경고가 표시됩니다. 이미 SSH 연결을 허용하는 방화벽 규칙을 설정했으므로 계속 진행해도 괜찮습니다. 프롬프트에 y를 입력하고 ENTER를 누르세요.
방화벽이 이제 활성화되었습니다. 설정한 규칙을 확인하려면 다음 명령을 실행하십시오:
이 튜토리얼의 나머지 부분은 UFW를 더 자세히 사용하는 방법을 다룹니다. 다른 유형의 연결을 허용하거나 거부하는 방법도 포함됩니다.
단계 6 — 다른 연결 허용
이 시점에서 서버가 제대로 작동하려면 다른 모든 연결을 허용해야 합니다. 허용해야 할 연결은 구체적인 요구에 따라 다릅니다. 서비스 이름이나 포트를 기반으로 연결을 허용하는 규칙을 작성하는 방법을 이미 알고 있습니다. 예를 들어 SSH의 경우 포트 22로 수행했습니다.
암호화되지 않은 웹 서버에서 사용하는 HTTP의 경우 80 포트에 대해 이 작업을 수행할 수 있습니다. 이 유형의 트래픽을 허용하려면 다음을 입력하면 됩니다:
또한 암호화된 웹 서버에서 사용하는 HTTPS의 경우 443 포트에 대해 이 작업을 수행할 수 있습니다. 이 유형의 트래픽을 허용하려면 다음을 입력하면 됩니다:
이러한 경우 모두 포트를 지정하는 것도 작동하며, HTTP의 경우 80 및 HTTPS의 경우 443입니다. 예를 들어:
그러나 포트 또는 알려진 서비스를 지정하는 것 외에도 연결을 허용하는 다른 방법이 있습니다. 다음에 설명됩니다.
특정 포트 범위
UFW에서 포트 범위를 지정할 수 있습니다. 예를 들어, 일부 응용 프로그램은 단일 포트 대신 여러 포트를 사용합니다.
예를 들어, 포트 6000에서 6007까지 사용하는 X11 연결을 허용하려면 다음 명령을 사용하십시오:
UFW로 포트 범위를 지정할 때 규칙이 적용되어야 하는 프로토콜 (tcp 또는 udp)을 지정해야 합니다. 이전에 언급되지 않은 이유는 프로토콜을 지정하지 않으면 자동으로 두 프로토콜이 모두 허용되기 때문입니다. 이는 대부분의 경우에는 괜찮습니다.
특정 IP 주소
UFW를 사용할 때 IP 주소도 지정할 수 있습니다. 예를 들어, 특정 IP 주소(예: 203.0.113.4와 같은 작업 또는 홈 IP 주소)에서의 연결을 허용하려면 from 다음에 IP 주소를 지정해야 합니다:
IP 주소가 연결을 허용할 수 있는 특정 포트도 지정할 수 있습니다. 이를 위해 포트 번호 뒤에 to any port를 추가하십시오. 예를 들어, 203.0.113.4가 포트 22(SSH)에 연결하도록 허용하려면 이 명령을 사용하십시오:
서브넷
IP 주소의 서브넷을 허용하려면 CIDR 표기법을 사용하여 넷마스크를 지정할 수 있습니다. 예를 들어, 203.0.113.1에서 203.0.113.254까지의 모든 IP 주소를 허용하려면 다음 명령을 사용할 수 있습니다:
마찬가지로, 서브넷 203.0.113.0/24이 접속을 허용하는 대상 포트를 지정할 수도 있습니다. 다시 말해, 포트 22 (SSH)를 예로 들면 다음과 같습니다:
특정 네트워크 인터페이스로의 연결
특정 네트워크 인터페이스에만 적용되는 방화벽 규칙을 만들려면 allow in on 다음에 네트워크 인터페이스의 이름을 지정하면 됩니다.
계속하기 전에 네트워크 인터페이스를 조회하는 것이 도움이 됩니다. 다음 명령을 사용하여 네트워크 인터페이스를 조회하세요:
Output. . .
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
. . .
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
. . .
강조된 출력은 네트워크 인터페이스 이름을 나타냅니다. 일반적으로 eth0 또는 enp3s2와 같은 이름을 가집니다.
예를 들어, 서버에 eth0이라는 공용 네트워크 인터페이스가 있는 경우 다음 명령을 사용하여 HTTP 트래픽을 허용할 수 있습니다:
이렇게 하면 서버가 공개 인터넷에서 HTTP 요청을 받을 수 있습니다.
또는, MySQL 데이터베이스 서버(포트 3306)가 사설 네트워크 인터페이스 eth1에서 연결을 수신하도록 하려면 다음 명령을 사용할 수 있습니다:
이렇게 하면 사설 네트워크의 다른 서버가 MySQL 데이터베이스에 연결할 수 있습니다.
단계 7 — 연결 거부
들어오는 연결에 대한 기본 정책을 변경하지 않은 경우 UFW는 모든 들어오는 연결을 거부하도록 구성됩니다. 일반적으로, 이렇게 하면 특정 포트 및 IP 주소를 명시적으로 허용하는 규칙을 작성하여 안전한 방화벽 정책을 만드는 프로세스가 간소화됩니다.
그러나 때로는 원하는 경우 소스 IP 주소 또는 서브넷을 기반으로 특정 연결을 거부해야 할 수도 있습니다. 아니면 서버가 해당 위치에서 공격을 받고 있다는 사실을 알기 때문일 수도 있습니다. 또한 기본 수신 정책을 허용으로 변경하려는 경우(권장되지 않음), 연결을 허용하지 않을 서비스 또는 IP 주소에 대한 거부 규칙을 만들어야 합니다.
거부 규칙을 작성하려면 위에서 설명한 명령을 사용하되, 허용을 거부로 바꿉니다.
예를 들어, HTTP 연결을 거부하려면 다음 명령을 사용할 수 있습니다:
또는 203.0.113.4에서 모든 연결을 거부하려는 경우 다음 명령을 사용할 수 있습니다:
이제 삭제 규칙을 구현하는 방법을 배울 수 있습니다.
단계 8 — 규칙 삭제
방화벽 규칙을 삭제하는 방법을 알고 있는 것은 그것을 생성하는 것만큼 중요합니다. 삭제할 규칙을 지정하는 두 가지 방법이 있습니다: 규칙 번호 또는 규칙 자체입니다. 이는 규칙이 생성될 때 지정된 방식과 유사합니다.
규칙 번호로
방화벽 규칙을 삭제하기 위해 규칙 번호를 사용하는 경우, 먼저 방화벽 규칙 목록을 가져오는 것이 좋습니다. UFW status 명령에는 각 규칙 옆에 번호가 표시되는 numbered 옵션이 있습니다:
OutputStatus: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 15.15.15.0/24
[ 2] 80 ALLOW IN Anywhere
규칙 번호 2를 삭제하려고 결정한 경우, 다음 UFW delete 명령에서 이를 지정할 수 있습니다:
이렇게 하면 확인 프롬프트가 표시되며, y/n으로 응답할 수 있습니다. y를 입력하면 규칙 2가 삭제됩니다. IPv6를 활성화한 경우 해당 IPv6 규칙도 삭제해야 합니다.
실제 규칙별로
대체로 번호 규칙은 삭제할 실제 규칙을 지정하는 것입니다. 예를 들어, allow http 규칙을 제거하려면 다음과 같이 작성할 수 있습니다:
allow 80 서비스 이름 대신에 규칙을 지정할 수도 있습니다:
이 방법은 IPv4 및 IPv6 규칙이 존재하는 경우 모두 삭제합니다.
단계 9 — UFW 상태 및 규칙 확인하기
언제든지 다음 명령으로 UFW의 상태를 확인할 수 있습니다:
UFW가 비활성화된 경우, 기본값이며, 출력은 다음과 같습니다:
OutputStatus: inactive
UFW가 활성화된 경우, 단계 3을 따른 경우여야 합니다. 출력은 활성화되어 있고 설정한 규칙을 나열할 것입니다. 예를 들어, 방화벽이 어디서든 SSH (포트 22) 연결을 허용하도록 설정된 경우 출력에는 다음과 같은 내용이 포함될 수 있습니다:
OutputStatus: active
To Action From
-- ------ ----
22/tcp ALLOW IN Anywhere
방화벽이 어떻게 구성되었는지 확인하려면 status 명령을 사용하세요.
단계 10 — UFW 비활성화 또는 재설정 (선택 사항)
UFW를 사용하지 않기로 결정한 경우 다음 명령으로 비활성화할 수 있습니다:
UFW로 생성한 모든 규칙은 더 이상 활성화되지 않습니다. 필요할 경우 언제든지 sudo ufw enable을 실행할 수 있습니다.
이미 UFW 규칙을 구성한 경우이지만 처음부터 다시 시작하려는 경우 reset 명령을 사용할 수 있습니다:
이렇게 하면 UFW가 비활성화되고 이전에 정의한 모든 규칙이 삭제됩니다. 기본 정책이 언제든지 수정되었는지 여부에 관계없이 기본 설정으로 변경되지 않음을 기억하십시오. 이는 UFW를 새롭게 시작할 수 있도록 해줍니다.
결론
이제 방화벽이 (최소한) SSH 연결을 허용하도록 구성되었습니다. 서버가 필요로 하는 다른 수신 연결을 허용하고 불필요한 연결을 제한하는 것이 중요합니다. 이렇게 하면 서버가 기능적이고 안전한 상태가 됩니다.
더 많은 일반적인 UFW 구성에 대해 알아보려면 UFW 핵심: 일반적인 방화벽 규칙과 명령어 튜토리얼을 참조하십시오.
Source:
https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-debian