ECI에서 특정 IP만 SSH 접속을 허용하려면 방화벽을 어떻게 설정하나요?
문제 설명
보안을 위해 가상머신에 특정 IP에서만 SSH(22번 포트) 접속을 허용하고, 그 외 모든 접근은 차단하고 싶습니다.
원인
ECI 가상 네트워크 방화벽은 위에서 아래 순서대로 규칙을 평가하며, 처음 매칭된 규칙 하나만 적용됩니다.
따라서 허용 규칙과 차단 규칙의 순서가 매우 중요합니다.
해결 방법
기본 전략
ECI 포털 > 가상머신에 접속해, 원하는 가상머신을 선택합니다. 그리고 정보 탭에서 네트워크 > 가상네트워크 > 방화벽 설정에 접속합니다.
방화벽 규칙 탭에서 규칙 추가를 누릅니다. 그리고 다음과 같은 전략으로 규칙을 추가합니다.
- 허용(ACCEPT) 규칙을 위쪽에 배치
- 모든 트래픽을 차단하는 DROP 규칙을 맨 마지막에 추가
예시
특정 IP
165.123.45.67에서만 SSH(22번 포트) 접속 허용
규칙 1 (허용)
| 항목 | 값 |
|---|---|
| 프로토콜 | TCP |
| 소스 | 165.123.45.67/32 |
| 대상 | [가상 네트워크 CIDR] |
| 포트 | 22 |
| 액션 | ACCEPT |
규칙 2 (반드시 마지막에 위치)
| 항목 | 값 |
|---|---|
| 프로토콜 | ALL |
| 소스 | 0.0.0.0/0 |
| 대상 | [가상 네트워크 CIDR] |
| 포트 | 없음 |
| 액션 | DROP |
여러 PC에서 접속해야 하는 경우
허용할 IP 수만큼 ACCEPT 규칙을 추가한 후, 가장 마지막에 ALL / 0.0.0.0/0 / DROP 규칙 하나만 추가하면 됩니다.
예:
ACCEPT 1.2.3.4/32 → SSH
ACCEPT 5.6.7.8/32 → SSH
ACCEPT 9.10.11.12/32 → SSH
DROP 0.0.0.0/0 → ALL
참고 사항
- DROP 규칙이 위에 있으면 모든 트래픽이 먼저 차단되어 SSH가 되지 않습니다.
- 방화벽 규칙 변경 후 최대 1분 정도 적용 지연이 있을 수 있습니다.
- 방화벽과 관련한 상세 가이드는 방화벽 규칙 관리를 참고하세요.