Linux : Ubuntu 20.04 : UFW로 Firewall 설정 방법, 예제, 명령어

방화벽은 들어오고 나가는 네트워크 트래픽을 모니터링하고 필터링하기 위한 도구입니다. 특정 트래픽을 허용할지 차단할지 결정하는 보안 규칙 집합을 정의하여 작동합니다.

Ubuntu에는 UFW(복제되지 않은 방화벽)라는 방화벽 구성 도구가 함께 제공됩니다. iptables 방화벽 규칙을 관리하기 위한 사용자에게 친숙한 프런트엔드입니다. 주요 목표는 방화벽을 보다 쉽게 또는 이름처럼 복잡하지 않게 관리하는 것입니다.

이 자료에서는 UFW 도구를 사용하여 Ubuntu 20.04에서 방화벽을 구성하고 관리하는 방법에 대해 설명합니다. 방화벽이 적절하게 구성된 것은 전체 시스템 보안의 가장 중요한 측면 중 하나입니다.

 

 

Linux : Ubuntu 20.04 : UFW로 Firewall 설정 방법, 예제, 명령어

 

 

필수 구성 요소

루트 또는 sudo 권한이 있는 사용자만 시스템 방화벽을 관리할 수 있습니다. 최상의 방법은 sudo 사용자로 관리 태스크를 실행하는 것입니다.

 

 

 

UFW를 설치

UFW는 표준 Ubuntu 20.04 설치의 일부이며 시스템에 있어야 합니다. 어떤 이유로 설치되지 않은 경우 다음을 입력하여 패키지를 설치할 수 있습니다.

sudo apt update
sudo apt install ufw

 

 

 

UFW 상태를 확인

UFW는 기본적으로 비활성화되어 있습니다. 다음 명령으로 UFW 서비스 상태를 확인할 수 있습니다.

출력에 방화벽 상태가 비활성으로 표시됩니다.

sudo ufw status verbose

# Status: inactive

 

 

UFW가 활성화되면 출력은 다음과 같이 표시됩니다.

Linux : Ubuntu 20.04 : UFW로 Firewall 설정 방법, 예제, 명령어 2

 

 

 

UFW 기본 정책

UFW 방화벽의 기본 동작은 모든 수신 및 전달 트래픽을 차단하고 모든 아웃바운드 트래픽을 허용하는 것입니다. 이것은 사용자가 포트를 특별히 열지 않는 한 서버에 액세스하려는 모든 사용자가 연결할 수 없음을 의미합니다. 서버에서 실행 중인 애플리케이션과 서비스는 외부 환경에 액세스할 수 있습니다.

기본 정책은 /etc/default/ufw 파일에 정의되어 있으며 파일을 수동으로 수정하거나 sudo ufw default <policy> <chain> 명령을 사용하여 변경할 수 있습니다.

방화벽 정책은 보다 복잡하고 사용자 정의 규칙을 만드는 기반입니다. 일반적으로 초기 UFW Default Policies가 좋은 출발점입니다.

 

 

 

응용 프로그램 프로필

애플리케이션 프로파일은 서비스를 설명하고 서비스에 대한 방화벽 규칙을 포함하는 INI 형식의 텍스트 파일입니다. 애플리케이션 프로파일은 패키지를 설치하는 동안 /etc/ufw/applications.d 디렉토리에 생성됩니다.

다음을 입력하여 서버에서 사용 가능한 모든 응용프로그램 프로파일을 나열할 수 있습니다.

시스템에 설치된 패키지에 따라 출력은 다음과 비슷합니다.

sudo ufw app list

# Available applications:
#   Nginx Full
#   Nginx HTTP
#   Nginx HTTPS
#   OpenSSH

 

 

특정 프로파일 및 포함된 규칙에 대한 자세한 내용을 보려면 다음 명령을 사용하십시오.

출력 결과 'Nginx Full' 프로필은 포트 80 및 443을 엽니다.

sudo ufw app info 'Nginx Full'

# Profile: Nginx Full
# Title: Web Server (Nginx, HTTP + HTTPS)
# Description: Small, but very powerful and efficient web server
# 
# Ports:
#   80,443/tcp

 

 

프로그램에 대한 사용자 정의 프로필을 생성할 수도 있습니다.

 

 

 

UFW를 활성화

UFW 방화벽을 활성화하기 전에 원격지에서 Ubuntu에 연결하는 경우 수신 SSH 연결을 명시적으로 허용해야 합니다. 그렇지 않으면 기기에 더 이상 연결할 수 없습니다.

수신 SSH 연결을 허용하도록 UFW 방화벽을 구성하려면 다음 명령을 입력합니다.

sudo ufw allow ssh

# Rules updated
# Rules updated (v6)

 

 

SSH가 비표준 포트에서 실행 중인 경우 해당 포트를 열어야 합니다.

예를 들어, ssh 대몬이 포트 7722에서 수신 대기하는 경우 다음 명령을 입력하여 해당 포트에서 연결을 허용합니다.

sudo ufw allow 7722/tcp

 

 

이제 들어오는 SSH 연결을 허용하도록 방화벽이 구성되었으므로 다음을 입력하여 방화벽을 사용하도록 설정할 수 있습니다.

sudo ufw enable

# Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
# Firewall is active and enabled on system startup

 

 

방화벽을 사용하도록 설정하면 기존 ssh 연결이 중단될 수 있다는 경고가 표시됩니다. y를 입력하고 Enter를 누르십시오.

 

 

 

포트 열기

시스템에서 실행되는 애플리케이션에 따라 다른 포트를 열어야 할 수도 있습니다. 포트를 여는 일반적인 구문은 다음과 같습니다.

ufw allow port_number/protocol

 

 

다음은 HTTP 연결을 허용하는 몇 가지 방법입니다.

첫 번째 옵션은 서비스 이름을 사용하는 것입니다. UFW는 /etc/services 파일에서 지정된 서비스의 포트 및 프로토콜을 확인합니다.

sudo ufw allow http

 

 

포트 번호와 프로토콜도 지정할 수 있습니다.

sudo ufw allow 80/tcp

 

 

프로토콜이 주어지지 않으면 UFW는 tcp와 udp 모두에 대한 규칙을 만듭니다.

또 다른 옵션은 애플리케이션 프로파일을 사용하는 것입니다. 이 경우 'Nginx HTTP':

sudo ufw allow 'Nginx HTTP'

 

 

UFW는 또한 프로토 키워드를 사용하여 프로토콜을 지정하는 또 다른 구문을 지원합니다.

sudo ufw allow proto tcp to any port 80

.

 

 

포트 범위

UFW를 사용하면 포트 범위를 열 수 있습니다. 시작 포트와 끝 포트는 콜론(:)으로 구분되며, tcp 또는 udp 프로토콜을 지정해야 합니다.

예를 들어, tcp와 udp 모두에서 7100에서 7200 사이의 포트를 허용하려면 다음 명령을 실행합니다.

sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp

 

 

 

특정 IP 주소 및 포트

지정된 소스 IP의 모든 포트에서 연결을 허용하려면 from 키워드 다음에 source address를 사용합니다.

다음은 IP 주소를 화이트리스트에 나열하는 예입니다.

sudo ufw allow from 64.63.62.61

 

 

지정된 IP 주소 액세스를 특정 포트에만 허용하려면 포트 키워드 다음에 포트 번호를 사용합니다.

예를 들어, IP 주소가 64.63.62.61인 시스템에서 포트 22에 대한 액세스를 허용하려면 다음을 입력합니다.

sudo ufw allow from 64.63.62.61 to any port 22

 

 

 

서브넷

IP 주소의 서브넷에 대한 연결을 허용하는 구문은 단일 IP 주소를 사용할 때와 동일합니다. 유일한 차이점은 넷마스크를 지정해야 한다는 것입니다.

다음은 192.168.1.1에서 192.168.1.254까지 포트 3360(MySQL )의 IP 주소에 대한 액세스를 허용하는 방법을 보여 주는 예입니다.

sudo ufw allow from 192.168.1.0/24 to any port 3306

 

 

 

특정 네트워크 인터페이스

특정 네트워크 인터페이스에서 연결을 허용하려면 in on 키워드 다음에 네트워크 인터페이스 이름을 사용합니다.

sudo ufw allow in on eth2 to any port 3306

 

 

 

연결을 거부

들어오는 모든 연결에 대한 기본 정책은 거부로 설정되어 있으며, 변경하지 않은 경우 UFW는 연결을 명시적으로 열지 않는 한 들어오는 모든 연결을 차단합니다.

거부 규칙을 작성하는 것은 허용 규칙을 작성하는 것과 같으며, 허용 대신 거부 키워드만 사용하면 됩니다.

포트 80 및 443을 열었고 서버가 23.24.25.0/24 네트워크의 공격을 받고 있다고 가정합니다. 23.24.25.0/24의 모든 연결을 거부하려면 다음 명령을 실행합니다.

sudo ufw deny from 23.24.25.0/24

 

 

 

다음은 23.24.25.0/24에서 포트 80 및 443에 대한 액세스만 거부하는 예입니다. 다음 명령을 사용할 수 있습니다.

sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443

 

 

 

UFW 규칙을 삭제

UFW 규칙을 삭제하는 방법은 규칙 번호와 실제 규칙을 지정하는 방법 두 가지가 있습니다.

UFW를 처음 사용하는 경우 규칙 번호별로 규칙을 삭제하는 것이 더 쉽습니다. 먼저 규칙 번호별로 규칙을 삭제하려면 삭제할 규칙 번호를 찾아야 합니다. 번호가 매겨진 규칙 목록을 가져오려면 ufw status numbering 명령을 사용합니다.

sudo ufw status numbered

# Status: active
# 
#      To                         Action      From
#      --                         ------      ----
# [ 1] 22/tcp                     ALLOW IN    Anywhere
# [ 2] 80/tcp                     ALLOW IN    Anywhere
# [ 3] 8080/tcp                   ALLOW IN    Anywhere

 

 

포트 8080에 대한 연결을 허용하는 규칙 3번을 삭제하려면 다음을 입력합니다.

sudo ufw delete 3

 

 

두 번째 방법은 실제 규칙을 지정하여 규칙을 삭제하는 것입니다. 예를 들어 열린 포트 8069에 규칙을 추가한 경우 다음을 사용하여 삭제할 수 있습니다.

sudo ufw delete allow 8069

 

 

 

UFW를 비활성화

어떤 이유로든 UFW를 중지하고 모든 규칙을 비활성화하려면 다음을 사용할 수 있습니다.

sudo ufw disable

 

 

나중에 UTF를 다시 사용하도록 설정하고 모든 규칙을 활성화하려면 다음을 입력하십시오.

sudo ufw enable

 

 

 

UFW를 리셋

UFW를 리셋하면 UFW가 비활성화되고 활성 규칙이 모두 삭제됩니다. 변경 사항을 모두 되돌리고 새로 시작하려는 경우 유용합니다.

UFW를 재설정하려면 다음 명령을 입력합니다.

sudo ufw reset

 

 

 

IP 위장

IP 위장은 소스 및 대상 IP 주소와 포트를 다시 작성하여 네트워크 트래픽을 변환하는 리눅스 커널의 NAT(네트워크 주소 변환) 변형입니다. IP 위장 기능을 사용하면 사설 네트워크에 있는 하나 이상의 시스템이 게이트웨이 역할을 하는 하나의 Linux 시스템을 사용하여 인터넷과 통신하도록 허용할 수 있습니다.

UFW로 IP Maskerading을 구성하려면 몇 가지 단계를 거쳐야 합니다.

먼저 IP 전달을 활성화해야 합니다. 이렇게 하려면 /etc/ufw/sysctl.conf 파일을 엽니다.

sudo nano /etc/ufw/sysctl.conf

 

 

net.1984.ip_forward = 1로 표시된 줄을 찾아 주석 처리를 취소합니다.

# /etc/ufw/sysctl.conf

net/ipv4/ip_forward=1

 

 

다음으로, 전달된 패킷을 허용하도록 UFW를 구성해야 합니다. UFW 구성 파일을 엽니다.

sudo nano /etc/default/ufw

 

 

DEFAULT_FORWARD_POLICY 키를 찾은 다음 DROP에서 SUCLITE로 값을 변경합니다.

# /etc/default/ufw

DEFAULT_FORWARD_POLICY="ACCEPT"

 

 

이제 NAT 테이블과 가장 규칙에서 POSTROUTING 체인에 대한 기본 정책을 설정해야 합니다.

이렇게 하려면 /etc/ufw/before.rules 파일을 열고 아래와 같이 노란색으로 강조 표시된 줄을 추가합니다.

sudo nano /etc/ufw/before.rules

 

 

다음 줄을 추가합니다.

# /etc/ufw/before.rules

#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]

# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

 

 

공용 네트워크 인터페이스의 이름과 일치하도록 -A POSTROUTING 행에서 eth0을 교체해야 합니다.

완료되면 파일을 저장하고 닫습니다.

마지막으로 UFW를 비활성화했다가 다시 활성화하여 UFW 규칙을 다시 로드합니다.

sudo ufw disable
sudo ufw enable

 

 

우분투 20.04 서버에 UFW 방화벽을 설치하고 구성하는 방법을 보여드렸습니다. 불필요한 연결은 모두 제한하면서 시스템이 올바르게 작동하는 데 필요한 모든 수신 연결은 허용해야 합니다.

이 주제에 대한 자세한 내용은 UFW man 페이지를 참조하십시오.

 

 

참조

https://linuxize.com/post/how-to-setup-a-firewall-with-ufw-on-ubuntu-20-04/