UFW의 기초: 필수 방화벽 명령어 배우기

소개

UFW는 uncomplicated firewall(간편한 방화벽)의 약자입니다. 이는 방화벽 기능과 명령을 쉽게 관리할 수 있도록 해주는 프론트엔드 플랫폼입니다. UFW는 기본 옵션으로 Ubuntu 서버와 함께 제공됩니다. 이 도구에 익숙하지 않다면 방화벽 명령과 기능의 잠재력을 극대화하는 것이 어려울 수 있습니다.

저희의 목표는 초보자도 사용할 수 있는 포괄적인 가이드를 제공하는 것입니다. UFW로 수행할 수 있는 다양한 작업의 예시를 통해 설명을 보완할 것입니다. 많은 규칙이 일상적인 서비스와 활동에 매우 유용할 것입니다. 시작해 보겠습니다!

전제 조건

더 읽기 전에 UFW가 기본 규칙 세트로 설정되어 있는지 확인하세요. 이는 방화벽이 나가는 트래픽은 허용하지만 들어오는 트래픽은 차단함을 의미합니다. 이 기본 재설정의 장점은 방화벽을 통해 허용할 트래픽을 선택할 수 있다는 것입니다. 현재 UFW의 규칙 세트 상태를 잘 모르겠다면 다음 명령을 사용하여 확인하세요: sudo ufw status. 이 명령을 사용할 수도 있습니다:

그 외에도 요구 사항에 가장 관련이 있는 섹션으로 자유롭게 이동할 수 있습니다. 이 가이드에 제공된 모든 단일 명령을 반드시 사용할 필요는 없습니다. 개인의 필요에 따라 조합하여 사용할 수 있습니다.

IP 주소 차단 방법

방화벽의 가장 기본적인 기능 중 하나인 IP 주소 차단부터 시작하겠습니다. 특정 IP 주소에서 들어오는 모든 네트워크 연결을 차단하는 데 사용할 수 있는 매우 간단한 명령이 있습니다. 예를 들어, 이 경우 특정 IP 주소가 15.15.15.51이라고 가정해 보겠습니다. 이 값을 UFW를 통해 차단하려는 IP 주소로 대체할 수 있습니다. 이 목적으로 사용할 명령은 다음과 같습니다:

여기서 from 15.15.15.51은 소스 IP 주소인 '15.15.15.51'만을 나타냅니다. 대신 지정하려는 서브넷이 있는 경우 다음과 같이 추가할 수 있습니다: 15.15.15.0/24. 명령은 동일하게 작동합니다. allow 규칙과 같이 원하는 모든 방화벽 규칙에 이 소스 IP 주소를 지정할 수 있습니다.

• 네트워크 인터페이스 연결 차단

때로는 특정 IP 주소에서 시작하여 특정 네트워크 인터페이스로 향하는 네트워크 연결을 차단해야 할 수도 있습니다. 이러한 경우 소스 IP 주소와 함께 네트워크 인터페이스를 지정해야 합니다. 이 예에서는 소스 IP 주소를 15.15.15.51로, 네트워크 인터페이스를 eth0으로 가정합니다:

소스 IP 주소와 마찬가지로 모든 방화벽 규칙에서 네트워크 인터페이스를 지정할 수도 있습니다. 이러한 지정의 목적은 해당 방화벽 규칙을 특정 네트워크 또는 연결로만 제한하는 것입니다.

SSH 연결 허용 방법

클라우드 서버를 사용하는 경우 이 섹션이 유용합니다. 클라우드 서버에 연결하려면 방화벽에서 들어오는 SSH 연결을 허용해야 합니다. 이러한 SSH 연결은 22번 포트를 통해 들어옵니다. 다음 튜토리얼을 따라 Ubuntu에서 SSH를 사용하여 원격 서버에 연결하는 방법을 배울 수 있습니다..

SSH 연결을 설정하면 로컬 장치를 사용하여 클라우드 서버를 성공적으로 관리할 수 있습니다. 여기서는 SSH 관련 방화벽 구성과 관련된 다양한 규칙을 다룹니다:

• SSH 허용

들어오는 모든 SSH 연결을 허용하려면 다음 명령을 사용하세요:

반면에 SSH 서비스의 포트 번호를 대신 지정하여 명령을 실행할 수도 있습니다:

• 특정 IP 주소에서 들어오는 SSH 허용

특정 IP 주소 또는 서브넷에서 들어오는 SSH 연결만 허용하려는 경우 소스를 지정할 수 있습니다. 예를 들어 허용하려는 서브넷이 15.15.15.0/24라고 가정해 보겠습니다. 실행해야 할 명령은 다음과 같습니다:

• 특정 IP 주소로부터의 Rsync 수신 허용

873번 포트에서 실행되는 Rsync를 사용하면 한 컴퓨터 시스템에서 다른 컴퓨터 시스템으로 파일을 전송할 수 있습니다. 특정 IP 주소 또는 서브넷(이 예에서는 15.15.15.0/24)에서 들어오는 Rsync 연결만 허용하려면 다음 명령어를 사용하여 설정할 수 있습니다:

이는 15.15.15.0/24 서브넷 전체가 귀하의 서버로 Rsync하는 것을 허용함을 의미합니다. 다음은 서버에서 로컬 및 원격 디렉터리를 동기화하기 위해 Rsync를 활용하는 방법에 대한 종합적인 Rsync를 사용하여 서버의 로컬 및 원격 디렉터리를 동기화하는 방법에 대한 튜토리얼.

웹 서버 요청 구성 방법

다음으로 웹 서버 서비스와 관련된 규칙으로 넘어가겠습니다. 다음과 같은 웹 서버는 Apache 및 Nginx는 일반적으로 80번 포트와 443번 포트라는 두 개의 포트에서 HTTP 및 HTTPS 연결 요청을 받습니다. 80번 포트는 HTTP 요청을 처리합니다. 443번 포트는 HTTPS 요청을 담당합니다.

사전 요구 사항에서 논의했듯이, 귀하는 UFW의 기본 규칙 세트를 사용하고 있습니다. 이 규칙 세트에 따라 방화벽은 모든 수신 트래픽을 차단하거나 거부합니다. 따라서 서버가 이러한 수신 요청을 수락하고 읽을 수 있도록 허용하는 새 규칙을 구성해야 합니다.

• 모든 HTTP 허용

80번 포트에서 들어오는 모든 HTTP 연결 및 요청을 허용하려면 다음 명령어를 사용하십시오:

명령어에서 HTTP 서비스를 지정하기 위해 포트 번호(80번 포트)를 사용할 수도 있습니다:

• 모든 HTTPS 허용

443번 포트에서 들어오는 모든 HTTPS 연결 및 요청을 허용하려면 다음 명령어를 실행하십시오:

이전 명령어와 마찬가지로 'https'를 HTTPS 서비스의 포트 번호로 대체할 수 있습니다:

• 모든 HTTP 및 HTTPS 허용

HTTP와 HTTPS 요청을 모두 허용하려는 경우, 두 요청에 대해 통합된 규칙을 사용할 수 있습니다. 이 단일 명령어를 통해 80번 포트와 443번 포트 모두에서 들어오는 트래픽을 허용할 수 있습니다:

proto tcp 명령어는 한 번에 여러 포트를 지정할 때 사용해야 합니다.

다음의 상세 가이드를 따라 Nginx 및 Ubuntu에서 Let’s Encrypt를 사용하여 Apache의 보안을 설정하는 방법을 알아볼 수도 있습니다..

MySQL 허용 방법

MySQL 연결은 3306번 포트를 통해 들어옵니다. 클라이언트가 원격 서버에서 귀하의 MySQL 데이터베이스를 사용하는 경우, 수신 트래픽을 허용하는 규칙을 사용해야 합니다. 다음 튜토리얼을 통해 MySQL의 기본 사항과 서버에 MySQL을 설정하는 방법을 알아보십시오.

• 특정 IP 주소로부터의 MySQL 허용

이전 규칙에서 이미 보았듯이, 수신 MySQL 연결을 허용하려면 소스를 지정해야 합니다. 소스는 특정 IP 주소 또는 서브넷이 될 수 있습니다. 이 예에서는 전체 15.15.15.0/24 서브넷을 사용하여 명령어를 실행합니다:

• 특정 네트워크 인터페이스로의 MySQL 허용

MySQL 연결을 허용할 네트워크 인터페이스도 지정해야 하는 경우 다른 명령어를 사용합니다. 사용 중인 네트워크 인터페이스가 eth1이라는 사설 네트워크 인터페이스라고 가정해 보겠습니다. 이 값을 본인의 네트워크 인터페이스 이름으로 대체할 수 있습니다:

PostgreSQL 허용 방법

The PostgreSQL 연결은 5432번 포트를 통해 들어옵니다. MySQL 연결과 마찬가지로, 클라이언트가 원격 서버에서 PostgreSQL 데이터베이스를 사용하는 경우 수신 트래픽을 허용해야 합니다. 다음 명령어를 사용하여 이 작업을 수행할 수 있습니다.

• 특정 IP 주소로부터의 PostgreSQL 허용

PostgreSQL 연결이 특정 서브넷 또는 IP 주소에서 들어오는 것을 알고 있다면 소스를 지정해야 합니다. 여기서는 다시 한번 15.15.15.0/24 서브넷의 예를 사용하겠습니다:

OUTPUT 정책이 ACCEPT로 설정되어 있지 않은 경우, 두 번째 명령을 실행해야 합니다. 이 명령은 이미 설정된 PostgreSQL 연결의 아웃고잉 트래픽을 허용합니다.

• 특정 네트워크 인터페이스에 PostgreSQL 허용하기

이전 규칙과 마찬가지로, 특정 네트워크 인터페이스에 대한 PostgreSQL 연결을 허용합니다. 이 예시에서는 eth1입니다:

OUTPUT 정책이 ACCEPT로 설정되어 있지 않은 경우, 두 번째 명령을 실행해야 합니다. 이 명령은 이미 설정된 PostgreSQL 연결의 아웃고잉 트래픽을 허용합니다. 다음의 상세 튜토리얼을 따라 Ubuntu에서 PostgreSQL을 설정하는 방법을 배울 수 있습니다.

메일 서버 구성 방법

시스템에서 다음과 같은 메일 서버를 사용할 수도 있습니다: Sendmail 및 Postfix. 이러한 서버는 여러 포트에 열려 있습니다. 수신 대기하는 포트는 메일 전송을 위해 설정된 프로토콜에 따라 다릅니다. 그렇기 때문에 먼저 메일 전송 시스템에서 어떤 프로토콜을 실행 중인지 확인해야 합니다. 그런 다음 이 정보를 바탕으로 관련 트래픽 유형을 허용하게 됩니다.

• 아웃고잉 SMTP 메일 차단하기

메일 서버의 인커밍 트래픽을 허용하는 명령으로 넘어가기 전에, 아웃고잉 SMTP 메일을 차단하는 방법을 알아보겠습니다. 서버에서 아웃고잉 메일을 보내지 않으려면 이 명령을 사용할 수 있습니다. SMTP 메일은 25번 포트를 사용합니다. 이 트래픽을 차단하려면 다음 명령을 사용하세요:

이 명령을 실행하면 방화벽이 25번 포트의 모든 아웃고잉 트래픽을 차단(drop)합니다. 다른 포트를 차단하려면 포트 '25'를 해당 포트 번호로 바꾸면 됩니다.

• 인커밍 SMTP 허용하기

아웃고잉 트래픽을 차단하는 방법을 알았으니, 인커밍 트래픽을 허용하는 것도 아주 간단해 보일 것입니다. 서버가 25번 포트에서 SMTP 연결을 수신할 수 있도록 하려면 다음 명령을 사용하세요:

• 인커밍 IMAP 허용하기

서버가 143번 포트에서 IMAP 연결을 설정할 수 있도록 허용하려면 다음 명령을 사용하세요:

• 인커밍 IMAPS 허용하기

서버가 993번 포트에서 IMAPS 연결에 응답할 수 있도록 허용하려면 다음 명령을 사용하세요:

• 인커밍 POP3 허용하기

이 명령은 서버가 110번 포트를 통해 모든 POP3 연결에 응답할 수 있도록 합니다:

• 인커밍 POP3S 허용하기

마지막으로, 이 명령을 사용하여 서버가 POP3S 연결을 위해 995번 포트로부터의 요청을 수신하도록 허용할 수 있습니다:

결론

이 가이드는 기본적인 UFW 기능에 익숙해지는 데 도움이 될 것입니다. 방화벽을 구성하기 위해 알아두어야 할 필수 명령들을 살펴보았습니다. 특정 요구 사항에 가장 적합한 명령을 선택하여 개인 맞춤형 방화벽 솔루션을 만들 수 있습니다. UFW의 유연한 특성 덕분에 이러한 맞춤 설정이 가능합니다. 자신에게 가장 잘 맞는 설정을 찾기 위해 다양하게 실험해 보세요.

즐거운 컴퓨팅 되세요!