ECI에서 특정 IP만 SSH 접속을 허용하려면 방화벽을 어떻게 설정하나요?
문제 설명
보안을 위해 가상머신에 특정 IP에서만 SSH(22번 포트) 접속을 허용하고, 그 외 모든 접근은 차단하고 싶습니다.
원인
ECI 가상 네트워크 방화벽은 위에서 아래 순서대로 규칙을 평가��하며, 처음 매칭된 규칙 하나만 적용됩니다.
따라서 허용 규칙과 차단 규칙의 순서가 매우 중요합니다.
해결 방법
기본 전략
ECI 포털 > 가상머신에 접속해, 원하는 가상머신을 선택합니다. 그리고 정보 탭에서 네트워크 > 가상네트워크 > 방화벽 설정에 접속합니다.
방화벽 규칙 탭에서 규칙 추가를 누릅니다. 그리고 다음과 같은 전략으로 규칙을 추가합니다.
- 허용(ACCEPT) 규칙을 위쪽에 배치
- 모든 트래픽을 차단하는 DROP 규칙을 맨 마지막에 추가
예시
특정 IP
165.123.45.67에서만 SSH(22번 포트) 접속 허용
규칙 1 (허용)
| 항목 | 값 |
|---|---|
| 프로토콜 | TCP |
| 소스 | 165.123.45.67/32 |
| 대상 | [가상 네트워크 CIDR] |
| 포트 | 22 |
| 액션 | ACCEPT |
규칙 2 (반드시 마지막에 위치)
| 항목 | 값 |
|---|---|
| 프로토콜 | ALL |
| 소스 | 0.0.0.0/0 |
| 대상 | [가상 네트워크 CIDR] |
| 포트 | 없음 |
| 액션 | DROP |
여러 PC에서 접속해야 하는 경우
허용할 IP 수만큼 ACCEPT 규칙을 추가한 후, 가장 마지막에 ALL / 0.0.0.0/0 / DROP 규칙 하나만 추가하면 됩니다.
예:
ACCEPT 1.2.3.4/32 → SSH
ACCEPT 5.6.7.8/32 → SSH
ACCEPT 9.10.11.12/32 → SSH
DROP 0.0.0.0/0 → ALL
참고 사항
- DROP 규칙이 위에 있으면 모든 트래픽이 먼저 차단되어 SSH가 되지 않습니다.
- 방화벽 규칙 변경 후 최대 1분 정도 적용 지연이 있을 수 있습니다.
- 방화벽과 관련한 상세 가이드는 방화벽 규칙 관리를 참고하세요.