ufw + gufw 방화벽으로 조금 더 안전하게

리눅스는 기본적으로 netfilter 모듈을 커널 모듈로서 가지고 있고, 그걸 iptables 유틸리티로 제어할 수 있습니다. 그 iptables를 보다 사용하기 쉽게 만들어주는 도구 중 ufw를 한번 살펴보도록 하겠습니다. ufw는 리눅스 민트에 기본 탑재되어 있으며 gufw를 이용해서 보다 편하게 조작할 수 있습니다. (iptables 만으로도 정말 강력한 기능이지만, 아무리 강력한 기능이 있다고 해도, 빠르게 대처할 수 없다면 운용 능력이 떨어지게 되겠지요. 그럴 바에는 차라리 쉽고 편한 유틸리티를 사용하는게 오히려 더 강력할 수 있습니다)

인터페이스 자체가 매우 단순합니다. 이렇게 기본적인 메인 UI에 있는 내부로 들어옴을 "거부"로 설정해 두는 것 만으로도 보다 더 안전한 네트워킹을 할 수가 있죠. 윈도우즈 방화벽 보다 조금 더 단순합니다.

민트엔 기본적으로 설치되며, [기본설정] - [방화벽 설정] 이걸 누르면 gufw가 켜집니다. 저같은 경우에는 제 PC에서 서버 돌리는 것을 좀 극혐하는 주의라서 아무런 예외 규칙을 두지 않고 들어오는 트래픽을 전부 드랍시켜버립니다.

이렇게 말이지요. 뭐, 전체적인 사용법은 매우 간단합니다. 프로필 관리하는 방법을 살펴보도록 하죠. [편집하기] 메뉴에서 [설정]을 들어가시면 아래 다이얼로그를 볼 수 있습니다.

여기에서 설치한 직후에는 한글 명칭으로 프로필이 생겨 있는데, 이걸 새로 만들 때 한글 명칭을 쓰면 안됩니다. 프로그램 꼬여서 설정이 다 날아가버리더라는;; 그냥 영문으로 "Home", "Office", "Univ", "Company" 이런식으로 단순한 이름을 쓰는 것을 권장드려요. 한글 입력 자체가 안되게 막혀 있는데 xed로 한글 명칭을 쓴 다음 잘라내기 - 붙혀넣기로 강제로 먹일 수는 있습니다. 그런데 그 이후가 문제지요. 왜 막아놓은지 알게 되실겁니다.

방화벽 규칙 추가하는 방법은 "규칙" 탭에 좌측 하단에 있는 "+" 버튼을 누르면 아래 다이얼로그가 뜹니다.

이거는 특정 프로그램을 지정해서 차단 또는 허용을 해주는 기능인데요, 윈도우즈에서의 그것과 동일한 사용법입니다.

이것은 단순하게 포트 번호만(포트 번호를 아는 경우) 입력받아서 허용하거나 차단할 수 있습니다. 예를들면 21번은 FTP고, 22번은 SSH, 23번은 텔넷 등등 이죠. 예를 들어서 SSH 접속을 허용하시려면 TCP 포트 22번을 "내부"로 들어오는 것을 허용시켜주면 됩니다.

이렇게 말이지요. 좀더 자세한 모드는 아래 모양입니다.

특정 인터페이스를 타겟으로 규칙을 설정해줄 수 있습니다. 예를 들어서, 유선으로 들어오는 SSH 연결은 허용하는데, 무선으로 들어오는 것을 차단하려면 아래처럼 하면 될겁니다.

이런식으로요. 인터페이스 wlp1s0는 제 무선 랜 인터페이스인데 이건 각자 알맞게 지정하시면 되겠습니다. 참고로 이 기능들에서도 한글이 입력이 되지 않는데, 아마 이것도 한글로 입력하면 문제가 생길 듯합니다...

뭐, 이 인터페이스는 현재 열려있는 포트를 조사해서 확인해주는 것들인데 이걸 일일히 차단하기 힘들기 때문에 그냥 내부로 들어오는 것 전체를 차단하는게 편합니다. (그렇다기 보다는 안쓸수는 없기 때문에...)

이 인터페이스는 ufw에서 일어났던 일들을 기록해두는 로그를 보는 기능입니다.

전체적으로 한글화 수준은 잘되어 있으나, 룰셋, 프로필 등 한글 입력이 안되게 되어 있는 부분들이 있어요. 거기에 한글만 안쓰면 이상없이 잘 동작합니다. (그런데 아이러니 한 것은, 최초로 등록되어 있던 한글 룰은 왜 되는건지 모르겠다는...)

P.S. 특정 IP 대역을 지정할 수도 있는데, 

이런식으로 IP/Subnet 형태로 입력해주시면 됩니다. 위 규칙은 192.168.으로 시작하는 아이피(사설 IP, 가정용 공유기)만 연결을 거부하는 룰인데 스샷을 찍을 때 "정책"을 허용으로 바꿔준다는게 걍 찍었네요;; 허허; 이런식으로 부분적인 허용 규칙을 잘 활용하면 정말 편하게 활용하실 수 있을 겁니다. vsftpd 관련 게시글도 올렸었데, 그것도 저렇게 집에서만 동작하게 허용하셔서 사용하시면 편할겁니다.