리눅스(우분투)에서 ufw로 간단하게 방화벽 설정하기

오늘은 리눅스 서버를 운영하거나 개발하는 분들에게 필수적인 방화벽 설정에 대해서 알아보려고 합니다.

보안을 강화하고, 방문을 원하는 서비스만 접근할 수 있도록 제어하는 역할을 하는 방화벽을 설정하는 것은 매우 중요합니다. 그러나 방화벽을 설정하는 것은 리눅스에서는 꽤 복잡하고 어려울 수 있습니다.

이에 따라 이번에는 우분투에서 방화벽을 쉽게 설정할 수 있는 "ufw"라는 도구를 소개하고자 합니다. 이 도구는 파이썬으로 개발된 ufw는 iptables를 기반으로 netfilter 방화벽을 관리할 수 있으며, 쉽게 CLI(Command Line Interface)를 이용하여 방화벽을 설정할 수 있습니다.

이번 포스트에서는 ufw의 설치부터 활성화, 비활성화, 규칙 설정 및 삭제 등에 대해 자세히 알아보겠습니다. 부담없이 따라와 주세요.

포스트 목차

이 포스트는 다음과 같은 내용을 포함하고 있습니다.
  • ufw 설치하기
  • ufw 활성화 및 비활성화
  • ufw 기본 정책 설정하기
  • ufw 규칙 설정하기
  • ufw 규칙 삭제하기
  • ufw 초기화하기
  • ufw 로그 확인하기
  • ufw 삭제하기

ufw 설치하기

우분투 18.04 LTS 이후 버전에서는 기본적으로 ufw가 설치되어 있습니다.
만약 설치되어 있지 않다면 다음 명령어로 설치할 수 있습니다.

1
2
sudo apt update
sudo apt install ufw
cs

ufw 활성화 및 비활성화

ufw는 기본적으로 비활성화 상태이므로 다음 명령어로 활성화할 수 있습니다.

1
sudo ufw enable
cs

만약 ufw를 비활성화하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw disable
cs

ufw의 상태를 확인하려면 다음 명령어를 사용합니다.

1
sudo ufw status verbose
cs

ufw 기본 정책 설정하기

ufw는 들어오는(incoming) 패킷과 나가는(outgoing) 패킷에 대한 기본 정책을 설정할 수 있습니다. 
기본적으로 들어오는 패킷은 거부(deny), 나가는 패킷은 허용(allow) 상태입니다.
이러한 기본 정책은 다음 명령어로 확인할 수 있습니다.

1
sudo ufw show raw
cs

만약 기본 정책을 모두 허용으로 변경하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw default allow
cs

반대로 기본 정책을 모두 거부로 변경하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw default deny
cs

ufw 규칙 설정하기

ufw는 포트, IP, 서비스 등에 대한 방화벽 규칙을 설정할 수 있습니다. 규칙을 설정하는 방법은 다음과 같습니다.

포트 허용 및 거부하기

특정 포트에 대한 접근을 허용하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw allow <port>/<optional: protocol>
cs

예를 들어 22번 포트에 대한 접근을 허용하고 싶다면 다음과 같이 입력합니다.

1
sudo ufw allow 22
cs

만약 TCP와 UDP 프로토콜을 구분하여 설정하고 싶다면 뒤에 프로토콜 이름을 추가합니다.

1
2
sudo ufw allow 22/tcp
sudo ufw allow 53/udp
cs

포트 범위를 지정하고 싶다면 콜론(:)으로 구분하여 입력합니다.

1
sudo ufw allow 1000:2000/tcp
cs

특정 포트에 대한 접근을 거부하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw deny <port>/<optional: protocol>
cs

예를 들어 80번 포트에 대한 접근을 거부하고 싶다면 다음과 같이 입력합니다.

1
sudo ufw deny 80
cs

포트와 프로토콜을 구분하거나 범위를 지정하는 방법은 허용할 때와 동일합니다.

IP 허용 및 거부하기

특정 IP에 대한 접근을 허용하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw allow from <ip address>
cs

예를 들어 192.168.0.44에서의 접근을 허용하고 싶다면 다음과 같이 입력합니다.

1
sudo ufw allow from 192.168.0.44
cs

이렇게 하면 해당 IP에 대한 모든 포트 접근이 개방됩니다.
만약 특정 포트나 프로토콜에 대해서만 허용하고 싶다면 다음과 같이 입력합니다

1
sudo ufw allow from <ip address> to any port <port number> proto <protocol name>
cs

예를 들어 192.168.0.33에서의 80번 포트 TCP 접근을 허용하고 싶다면 다음과 같이 입력합니다.

1
sudo ufw allow from 192.168.0.33 to any port 80 proto tcp
cs

특정 IP에 대한 접근을 거부하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw deny from <ip address>
cs

예를 들어 192.168.0.33에서의 접근을 거부하고 싶다면 다음과 같이 입력합니다.

1
sudo ufw deny from 192.168.0.33
cs

포트나 프로토콜을 구분하여 거부하는 방법은 허용할 때와 동일합니다.

서비스 허용 및 거부하기

서비스나 프로토콜의 이름으로 방화벽 규칙을 설정하고 싶다면 다음 명령어로 서비스 이름을 확인할 수 있습니다.

1
cat /etc/services
cs

서비스 이름으로 접근을 허용하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw allow <service name>
cs

예를 들어 ssh 서비스에 대한 접근을 허용하고 싶다면 다음과 같이 입력합니다.

1
sudo ufw allow ssh
cs

서비스 이름으로 접근을 거부하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw deny <service name>
cs

예를 들어 ftp 서비스에 대한 접근을 거부하고 싶다면 다음과 같이 입력합니다.

1
sudo ufw deny ftp
cs

ufw 규칙 삭제하기

설정했던 방화벽 규칙을 삭제하고 싶다면 다음 명령어를 사용합니다.

1
sudo ufw delete <rule>
cs

예를 들어 22번 포트에 대한 접근을 허용했던 규칙을 삭제하고 싶다면 다음과 같이 입력합니다.

1
sudo ufw delete allow 22
cs

좀 더 쉽게 방화벽 규칙을 삭제하기 위해서는 다음 명령어로 방화벽 규칙의 순서를 확인할 수 있습니다.

1
sudo ufw status numbered
cs

그리고 다음 명령어로 순서에 해당하는 번호를 입력하여 삭제할 수 있습니다.

1
sudo ufw delete <number>
cs

예를 들어 첫번째 규칙을 삭제하고 싶다면 다음과 같이 입력합니다.

1
sudo ufw delete 1
cs

ufw 초기화하기

방화벽 규칙을 이리저리 설정하다가 초기화하고 싶은 경우에는 다음 명령어로 간단하게 초기화할 수 있습니다.

1
sudo ufw reset
cs

초기화시 ufw는 비활성화 상태로 되돌아갑니다.

ufw 로그 확인하기

ufw는 방화벽 규칙에 따라 허용되거나 거부된 패킷들에 대한 로그를 남깁니다. 로그는 다음 경로에 저장됩니다.

1
/var/log/ufw.log
cs

로그 파일의 내용은 다음과 같은 형식으로 표시됩니다.

[UFW BLOCK] IN=<interface> OUT= MAC=<mac address> SRC=<source ip> DST=<destination ip> LEN=<length> TOS=<type of service> PREC=<precedence> TTL=<time to live> ID=<id> PROTO=<protocol> SPT=<source port> DPT=<destination port> WINDOW=<window size> RES=<reserved bit> SYN URGP=<urgent pointer>

예를 들어 다음과 같은 로그가 있다면,

[UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:6f:3c:58:00:50:56:c0:00:01:08:00 SRC=192.168.0.33 DST=192.168.0.44 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=65277 DF PROTO=TCP SPT=80 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 

eth0 인터페이스를 통해 192.168.0.33에서 192.168.0.44로 TCP 프로토콜의 80번 포트에서 22번 포트로 접근하는 패킷이 거부되었다는 의미입니다.

ufw 삭제하기

ufw를 완전히 삭제하고 싶다면 다음 명령어를 사용합니다.

1
sudo apt remove --purge ufw
cs

이렇게 하면 ufw와 관련된 모든 파일과 설정이 제거됩니다.

마치며

이번 글에서는 우분투에서 방화벽을 설정하는 것이 다소 어렵다는 문제점을 해결하기 위해, 쉽고 직관적인 방식으로 방화벽 규칙을 관리할 수 있는 ufw에 대해 다뤄보았습니다.
ufw는 iptables보다 간단하고 더 쉬운 CLI를 제공하므로, 리눅스 서버 관리자나 개발자라면 꼭 알아두어야 할 도구입니다.
ufw를 사용하여 서버를 더욱 안전하게 보호하고 필요한 서비스에 대한 접근 권한을 제공해보는건 어떨까요?

이상으로 포스팅을 마치겠습니다. 감사합니다.

글 쓰는 Jiniwar


댓글

댓글 쓰기

이 블로그의 인기 게시물

crontab 설정방법과 로그 확인하는 법

crontab이란? crontab은 리눅스에서 주기적으로 특정 작업을 수행하도록 예약하는 명령어입니다. 예를 들어, 매일 밤 백업을 하거나, 매주 월요일에 로그를 삭제하거나, 매시간마다 시스템 상태를 체크하는 등의 작업을 crontab을 이용하여 자동화할 수 있습니다. crontab은 크게 두 가지로 구분할 수 있습니다. 시스템 전체의 crontab : /etc/crontab 파일에 정의된 작업들로, 모든 사용자가 공유합니다. 개별 사용자의 crontab : 각 사용자가 crontab 명령어로 생성하고 관리하는 작업들로, 해당 사용자만이 접근할 수 있습니다. 이번 포스팅에서는 개별 사용자의 crontab에 대해 알아보고, 설정방법과 성공여부 확인 방법에 대해 설명하겠습니다. crontab 설정방법 crontab 명령어는 다음과 같은 옵션을 가집니다. -e : crontab 파일을 편집합니다. 기본적으로 vi 에디터가 열리지만, EDITOR 환경변수를 설정하여 다른 에디터를 사용할 수 있습니다. -l : 현재 설정된 crontab 파일의 내용을 출력합니다. -r : 현재 설정된 crontab 파일을 삭제합니다. crontab 파일을 편집하려면 다음과 같이 명령어를 입력합니다. 1 $ crontab -e cs 그러면 다음과 같은 형식으로 작업을 정의할 수 있습니다. 1 분 시 일 월 요일 명령어 cs 각 항목은 다음과 같은 의미를 가집니다. 분 : 0 ~ 59 사이의 숫자로, 명령어가 실행될 분을 지정합니다. 시 : 0 ~ 23 사이의 숫자로, 명령어가 실행될 시간을 지정합니다. 일 : 1 ~ 31 사이의 숫자로, 명령어가 실행될 날짜를 지정합니다. 월 : 1 ~ 12 사이의 숫자로, 명령어가 실행될 달을 지정합니다. 요일 : 0 ~ 6 사이의 숫자로, 명령어가 실행될 요일을 지정합니다. 0은 일요일, 1은 월요일 … 6은 토요일입니다. 명령어 : 실행할 쉘 스크립트나 프로그램의 경로와 옵션입니다. 예를 들어, 매일 오전 10시에 /home/user/backup.
자세한 내용 보기

Microsoft Defender 방화벽 설정 또는 해제하는 방법

이미지
저는 집에서 아이들이 컴퓨터를 사용하는 것을 적극 찬성하는 입장입니다. 와이프는 게임을 많이 한다고 질색팔색이긴한데, 저는 우선 컴퓨터와 친해지는 과정이 있어야 나중에 컴퓨터에 흥미를 느끼고 깊게 이해할 수 있다고 생각하기 때문에 게임을 하건, 유튜브를 보건 무조건 컴퓨터를 많이 해보라고 합니다. 어제, 와이프와 드라이브를 하고 있는데 딸아이에게 전화가 왔습니다. "아빠, 우리집 컴퓨터에 VPN 있어? 있으면 사용하는 방법 좀 알려줘." 오오...무려 VPN 사용법! 로블록스 게임 중 국내에서 플레이 할 수 없는 게임을 하고 싶어서 라는데 이유가 어찌됐건 간에 딸아이한테서 VPN에 대한 이야기가 나왔다는게 대견했습니다. 하지만 VPN을 사용하기 위해서는 기본적인 윈도우 보안에 대해서도 알아둘 필요성이 있을 것 같아서, 이번 포스팅은 윈도우의 기본 방화벽인 'Microsoft Defender'에 대해 알아볼까 합니다. 아이들이 봐야 할 포스팅이기 때문에 최대한 쉽고 재미있게 작성해보려고 하는데 잘 될지는 모르겠네요^^; 그럼 시작해보겠습니다. Windows 10과 Windows 11에서 Microsoft Defender 방화벽을 쉽고 빠르게 설정하거나 해제하는 방법을 아이들도 알 수 있도록 쉽게 알려드립니다. Microsoft Defender 방화벽이 뭐야? 안녕하세요. 오늘은 윈도우 보안의 비밀병기, Microsoft Defender 방화벽에 대해 이야기해볼까 합니다.  Microsoft Defender 방화벽은 Windows에 내장된 슈퍼 보안 기능이에요. 무단으로 장치나 네트워크에 들어오려는 악당들을 막아주는 역할을 해줘요. Microsoft Defender 방화벽은 장치가 네트워크에 연결되어 있는 동안에도 항상 깨어있어서 지켜봐줘요.  그런데 가끔은 다른 방화벽과 싸우거나 원하는 앱이나 프로그램을 실행하지 못하게 막을 수도 있어요. 그럴 때는 Microsoft Defender 방화벽을 잠시 꺼주거나 켜줄 수 있어요. 이 글
자세한 내용 보기

한국 군비지출 세계 9위

이미지
한국 군사비지출 세계 9위, 그 이유와 의미는? 세계의 군사비지출이 사상 최고치를 기록했다는 보고서가 발표되었습니다. 스톡홀름 국제평화재단(SIPRI)이 24일(현지시간) 발표한 '2022 세계 군비지출 동향' 보고서에 따르면, 지난해 세계 군비 지출액은 전년보다 3.7% 상승한 2조 2천400억 달러(약 2천900조 원)로 역대 최고 기록을 세웠습니다. 이는 세계 국내총생산(GDP) 총합의 2.2%에 해당합니다 세계 군비지출 순위 세계 군비지출 순위는 다음과 같습니다 세계 군비지출 순위 (1 ~ 10위) 한국은 지난해 군비 예산을 전년 대비 2.9% 늘렸으나, 인플레이션을 감안한 실질 군사비 지출은 2.5% 줄어들었습니다. 총 비용은 세계에서 아홉 번째로 많은 수준입니다. 일본은 지난해 실질 군사비 지출이 전년보다 5.9% 증가하면서 한국과 자리를 바꾸었습니다. 세계 군비지출 증가의 배경과 영향 세계 군비지출이 계속 증가하는 것은 우리가 점점 더 불안정한 세계에 살고 있다는 신호입니다.  SIPRI는 러시아의 우크라이나 침공, 미국과 중국의 경쟁에 따른 동아시아의 긴장 고조를 전세계 지출을 늘린 요인으로 지목했습니다 이러한 국제적 긴장 상황은 코로나19 팬데믹으로 인해 경제적으로 어려움을 겪고 있는 많은 국가들에게 부담을 가중시키고 있습니다. SIPRI는 코로나19로 인해 군비지출을 줄인 국가는 13개에 불과하며, 그 중에서도 대부분은 이미 군비지출이 낮은 수준이었다고 밝혔습니다. 반면에 미국과 중국은 각각 4.4%, 1.9%의 군비지출을 증가시켰으며, 이는 세계 군비지출 증가의 60%를 차지했습니다. 전세계적으로 증가추세인 군비지출 한국의 군비지출 증가의 이유와 의미 한국은 세계에서 아홉 번째로 많은 군비지출을 하는 나라입니다. 한국의 군비지출 증가에는 여러 가지 이유가 있습니다. 첫째, 한국은 북한의 핵과 미사일 위협에 직면해 있으며, 이를 대응하기 위해 고도 미사일 방어체계(THAAD), 탄도탄 요격체계(KAMD), 사드리 고도 탐지 레이
자세한 내용 보기