Proxmox VE 매뉴얼을 Google Translate로 기계번역하고, 살짝 교정했습니다.
https://pve.proxmox.com/pve-docs/pve-admin-guide.html
version 8.1.4, Wed Mar 6 18:21:39 CET 2024
구성: 옵션과 관련된 항목들은 번역하지 않았습니다.
Proxmox VE 방화벽은 IT 인프라를 보호하는 쉬운 방법을 제공합니다. 클러스터 내의 모든 호스트에 대한 방화벽 규칙을 설정하거나 가상 머신 및 컨테이너에 대한 규칙을 정의할 수 있습니다. 방화벽 매크로, 보안 그룹, IP 세트 및 별칭과 같은 기능은 해당 작업을 더 쉽게 만드는 데 도움이 됩니다.
모든 구성은 클러스터 파일 시스템에 저장되지만 iptables 기반 방화벽 서비스는 각 클러스터 노드에서 실행되므로 가상 머신 간의 완전한 격리를 제공합니다. 이 시스템의 분산 특성은 중앙 방화벽 솔루션보다 훨씬 높은 대역폭을 제공합니다.
방화벽은 IPv4 및 IPv6를 완벽하게 지원합니다. IPv6 지원은 완전히 투명하며 기본적으로 두 프로토콜 모두에 대한 트래픽을 필터링합니다. 따라서 IPv6에 대해 다른 규칙 세트를 유지할 필요가 없습니다.
13.1. 구역(Zones)
Proxmox VE 방화벽은 네트워크를 다음 논리 영역으로 그룹화합니다.
- Host: 클러스터 노드에서 들어오고 나가는 트래픽
- VM: 특정 VM과의 트래픽
각 영역에 대해 들어오고 나가는 트래픽에 대한 방화벽 규칙을 정의할 수 있습니다.
13.2. 구성 파일
모든 방화벽 관련 구성은 proxmox 클러스터 파일 시스템에 저장됩니다. 따라서 해당 파일은 모든 클러스터 노드에 자동으로 배포되고 pve-firewall 서비스는 변경 시 기본 iptables 규칙을 자동으로 업데이트합니다.
GUI를 사용하여 무엇이든 구성할 수 있습니다(예: Datacenter → Firewall 또는 Node → Firewall). 또는 선호하는 편집기를 사용하여 구성 파일을 직접 편집할 수 있습니다.
방화벽 구성 파일에는 키-값 쌍 섹션이 포함되어 있습니다. #으로 시작하는 줄과 빈 줄은 주석으로 간주됩니다. 섹션은 [ and ]로 묶인 섹션 이름을 포함하는 헤더 줄로 시작됩니다.
13.2.1. 클러스터 전체 설정
클러스터 전체 방화벽 구성은 다음 위치에 저장됩니다.
/etc/pve/firewall/cluster.fw
구성에는 다음 섹션이 포함될 수 있습니다.
- [OPTIONS]: This is used to set cluster-wide firewall options.
- ebtables: (default = 1): Enable ebtables rules cluster wide.
- enable: (0 – N): Enable or disable the firewall cluster wide.
- log_ratelimit: [enable=]<1|0> [,burst=] [,rate=]: Log ratelimiting settings
- burst= (0 – N) (default = 5): Initial burst of packages which will always get logged before the rate is applied
- enable= (default = 1): Enable or disable log rate limiting
- rate= (default = 1/second): Frequency with which the burst bucket gets refilled
- policy_in: : Input policy.
- policy_out: : Output policy.
- [RULES]: This sections contains cluster-wide firewall rules for all nodes.
- [IPSET ]: Cluster wide IP set definitions.
- [GROUP ]: Cluster wide security group definitions.
- [ALIASES]: Cluster wide Alias definitions.
방화벽 활성화
방화벽은 기본적으로 완전히 비활성화되어 있으므로 여기에서 활성화 옵션을 설정해야 합니다.
[OPTIONS] # enable firewall (cluster-wide setting, default is disabled) enable: 1
중요: 방화벽을 활성화하면 기본적으로 모든 호스트에 대한 트래픽이 차단됩니다. 유일한 예외는 로컬 네트워크의 WebGUI(8006) 및 ssh(22)입니다.
원격에서 Proxmox VE 호스트를 관리하려면 해당 원격 IP에서 웹 GUI(포트 8006)로의 트래픽을 허용하는 규칙을 만들어야 합니다. SSH(포트 22)와 SPICE(포트 3128)를 허용할 수도 있습니다.
팁: 방화벽을 활성화하기 전에 Proxmox VE 호스트 중 하나에 대한 SSH 연결을여십시오. 이렇게 하면 문제가 발생하더라도 호스트에 계속 액세스할 수 있습니다.
해당 작업을 단순화하기 위해 대신 “management”라는 IPSet를 생성하고 여기에 모든 원격 IP를 추가할 수 있습니다. 이렇게 하면 원격에서 GUI에 액세스하는 데 필요한 모든 방화벽 규칙이 생성됩니다.
13.2.2. 호스트별 구성
호스트 관련 구성은 다음에서 읽습니다.
/etc/pve/nodes/<nodename>/host.fw
이는 cluster.fw 구성의 규칙을 덮어쓰려는 경우에 유용합니다. 로그의 자세한 정도를 높이고 netfilter 관련 옵션을 설정할 수도 있습니다. 구성에는 다음 섹션이 포함될 수 있습니다.
[OPTIONS]This is used to set host related firewall options.
enable:
Enable host firewall rules.
log_level_in:
Log level for incoming traffic.
log_level_out:
Log level for outgoing traffic.
log_nf_conntrack: (default = 0)
Enable logging of conntrack information.
ndp: (default = 0)
Enable NDP (Neighbor Discovery Protocol).
nf_conntrack_allow_invalid: (default = 0)
Allow invalid packets on connection tracking.
nf_conntrack_helpers: (default = “)
Enable conntrack helpers for specific protocols. Supported protocols: amanda, ftp, irc, netbios-ns, pptp, sane, sip, snmp, tftp
nf_conntrack_max: (32768 – N) (default = 262144)
Maximum number of tracked connections.
nf_conntrack_tcp_timeout_established: (7875 – N) (default = 432000)
Conntrack established timeout.
nf_conntrack_tcp_timeout_syn_recv: (30 – 60) (default = 60)
Conntrack syn recv timeout.
nosmurfs:
Enable SMURFS filter.
protection_synflood: (default = 0)
Enable synflood protection
protection_synflood_burst: (default = 1000)
Synflood protection rate burst by ip src.
protection_synflood_rate: (default = 200)
Synflood protection rate syn/sec by ip src.
smurf_log_level:
Log level for SMURFS filter.
tcp_flags_log_level:
Log level for illegal tcp flags filter.
tcpflags: (default = 0)
Filter illegal combinations of TCP flags.
This sections contains host specific firewall rules.
13.2.3. VM/컨테이너 구성
VM 방화벽 구성은 다음에서 읽습니다.
/etc/pve/firewall/<VMID>.fw
This is used to set VM/Container related firewall options.
dhcp: (default = 0)
Enable DHCP.
enable: (default = 0)
Enable/disable firewall rules.
ipfilter:
Enable default IP filters. This is equivalent to adding an empty ipfilter-net ipset for every interface. Such ipsets implicitly contain sane default restrictions such as restricting IPv6 link local addresses to the one derived from the interface’s MAC address. For containers the configured IP addresses will be implicitly added.
log_level_in:
Log level for incoming traffic.
log_level_out:
Log level for outgoing traffic.
macfilter: (default = 1)
Enable/disable MAC address filter.
ndp: (default = 0)
Enable NDP (Neighbor Discovery Protocol).
policy_in:
Input policy.
policy_out:
Output policy.
radv:
Allow sending Router Advertisement.
This sections contains VM/Container firewall rules. [IPSET ]
IP set definitions. [ALIASES]
IP Alias definitions.
VM 및 컨테이너에 방화벽 활성화
각 가상 네트워크 장치에는 자체 방화벽 활성화 플래그가 있습니다. 따라서 각 인터페이스에 대해 선택적으로 방화벽을 활성화할 수 있습니다. 이는 일반 방화벽 활성화 옵션에 추가로 필요합니다.
13.3. 방화벽 규칙
방화벽 규칙은 방향(IN 또는 OUT)과 작업(ACCEPT, DENY, REJECT)으로 구성됩니다. 매크로 이름을 지정할 수도 있습니다. 매크로에는 미리 정의된 규칙 및 옵션 세트가 포함되어 있습니다. 규칙 앞에 |를 붙여서 비활성화할 수 있습니다.
방화벽 규칙 구문
[RULES] DIRECTION ACTION [OPTIONS] |DIRECTION ACTION [OPTIONS] # disabled rule DIRECTION MACRO(ACTION) [OPTIONS] # use predefined macro
다음 옵션을 사용하여 규칙 일치를 세분화할 수 있습니다.
–dest
Restrict packet destination address. This can refer to a single IP address, an IP set (+ipsetname) or an IP alias definition. You can also specify an address range like 20.34.101.207-201.3.9.99, or a list of IP addresses and networks (entries are separated by comma). Please do not mix IPv4 and IPv6 addresses inside such lists.
–dport
Restrict TCP/UDP destination port. You can use service names or simple numbers (0-65535), as defined in /etc/services. Port ranges can be specified with \d+:\d+, for example 80:85, and you can use comma separated list to match several ports or ranges.
–icmp-type
Specify icmp-type. Only valid if proto equals icmp or icmpv6/ipv6-icmp.
–iface
Network interface name. You have to use network configuration key names for VMs and containers (net\d+). Host related rules can use arbitrary strings.
–log
Log level for firewall rule.
–proto
IP protocol. You can use protocol names (tcp/udp) or simple numbers, as defined in /etc/protocols.
–source
Restrict packet source address. This can refer to a single IP address, an IP set (+ipsetname) or an IP alias definition. You can also specify an address range like 20.34.101.207-201.3.9.99, or a list of IP addresses and networks (entries are separated by comma). Please do not mix IPv4 and IPv6 addresses inside such lists.
–sport
Restrict TCP/UDP source port. You can use service names or simple numbers (0-65535), as defined in /etc/services. Port ranges can be specified with \d+:\d+, for example 80:85, and you can use comma separated list to match several ports or ranges.
여기 몇 가지 예가 있어요.
[RULES] IN SSH(ACCEPT) -i net0 IN SSH(ACCEPT) -i net0 # a comment IN SSH(ACCEPT) -i net0 -source 192.168.2.192 # only allow SSH from 192.168.2.192 IN SSH(ACCEPT) -i net0 -source 10.0.0.1-10.0.0.10 # accept SSH for IP range IN SSH(ACCEPT) -i net0 -source 10.0.0.1,10.0.0.2,10.0.0.3 #accept ssh for IP list IN SSH(ACCEPT) -i net0 -source +mynetgroup # accept ssh for ipset mynetgroup IN SSH(ACCEPT) -i net0 -source myserveralias #accept ssh for alias myserveralias |IN SSH(ACCEPT) -i net0 # disabled rule IN DROP # drop all incoming packages OUT ACCEPT # accept all outgoing packages
13.4. 보안 그룹
보안 그룹은 모든 VM의 규칙에서 사용할 수 있는 클러스터 수준에서 정의된 규칙 모음입니다. 예를 들어 http 및 https 포트를 여는 규칙을 사용하여 “webserver”라는 그룹을 정의할 수 있습니다.
# /etc/pve/firewall/cluster.fw [group webserver] IN ACCEPT -p tcp -dport 80 IN ACCEPT -p tcp -dport 443
그런 다음 이 그룹을 VM의 방화벽에 추가할 수 있습니다.
# /etc/pve/firewall/<VMID>.fw [RULES] GROUP webserver
13.5. IP 별칭
IP 별칭을 사용하면 네트워크의 IP 주소를 이름과 연결할 수 있습니다. 그런 다음 해당 이름을 참조할 수 있습니다.
내부 IP 세트 정의
방화벽 규칙의 소스 및 대상 속성
13.5.1. 표준 IP 별칭 local_network
이 별칭은 자동으로 정의됩니다. 할당된 값을 보려면 다음 명령을 사용하십시오.
# pve-firewall localnet local hostname: example local IP address: 192.168.2.100 network auto detect: 192.168.0.0/20 using detected local_network: 192.168.0.0/20
방화벽은 이 별칭을 사용하여 클러스터 통신(corosync, API, SSH)에 필요한 모든 것을 허용하는 규칙을 자동으로 설정합니다.
사용자는 cluster.fw 별칭 섹션에서 이러한 값을 덮어쓸 수 있습니다. 공용 네트워크에서 단일 호스트를 사용하는 경우 로컬 IP 주소를 명시적으로 할당하는 것이 좋습니다
# /etc/pve/firewall/cluster.fw [ALIASES] local_network 1.2.3.4 # use the single IP address
13.6. IP 세트
IP 세트를 사용하여 네트워크 및 호스트 그룹을 정의할 수 있습니다. 방화벽 규칙의 source 및 dest 속성에서 ‘+name’을 사용하여 참조할 수 있습니다.
다음 예에서는 management IP 세트의 HTTP 트래픽을 허용합니다.
IN HTTP(ACCEPT) -source +management
13.6.1. 표준 IP 세트 management
이 IP 집합은 호스트 방화벽(VM 방화벽이 아님)에만 적용됩니다. 해당 IP는 일반적인 관리 작업(Proxmox VE GUI, VNC, SPICE, SSH)을 수행할 수 있습니다.
호스트 간 클러스터 통신을 활성화하기 위해 로컬 클러스터 네트워크가 이 IP 세트(별칭 cluster_network)에 자동으로 추가됩니다. (멀티캐스트, SSH,…)
# /etc/pve/firewall/cluster.fw [IPSET management] 192.168.2.10 192.168.2.10/24
13.6.2. 표준 IP 세트 blacklist
이러한 IP의 트래픽은 모든 호스트 및 VM의 방화벽에 의해 삭제됩니다.
# /etc/pve/firewall/cluster.fw [IPSET blacklist] 77.240.159.182 213.87.123.0/24
13.6.3. 표준 IP 세트 ipfilter-net*
이러한 필터는 VM의 네트워크 인터페이스에 속하며 주로 IP 스푸핑을 방지하는 데 사용됩니다. 인터페이스에 대해 이러한 세트가 존재하는 경우 소스 IP가 해당 인터페이스의 해당 IP필터 세트와 일치하지 않는 모든 나가는 트래픽은 삭제됩니다.
구성된 IP 주소가 있는 컨테이너의 경우 이러한 집합이 존재하는 경우(또는 VM 방화벽 옵션 탭의 일반 IP 필터 옵션을 통해 활성화된 경우) 관련 IP 주소를 암시적으로 포함합니다.
가상 머신과 컨테이너 모두 이웃 검색 프로토콜이 작동할 수 있도록 표준 MAC 파생 IPv6 링크 로컬 주소를 암시적으로 포함합니다.
/etc/pve/firewall/<VMID>.fw [IPSET ipfilter-net0] # only allow specified IPs on net0 192.168.2.10
13.7. 서비스 및 명령
방화벽은 각 노드에서 두 개의 서비스 데몬을 실행합니다.
- pvefw-logger: NFLOG 데몬(ulogd 대체).
- pve-firewall: iptables 규칙을 업데이트합니다.
방화벽 서비스를 시작하고 중지하는 데 사용할 수 있는 pve-firewall이라는 CLI 명령도 있습니다.
# pve-firewall start # pve-firewall stop
상태를 얻으려면 다음을 사용하십시오.
# pve-firewall status
위 명령은 모든 방화벽 규칙을 읽고 컴파일하므로 방화벽 구성에 오류가 있으면 경고가 표시됩니다.
생성된 iptables 규칙을 보려면 다음을 사용할 수 있습니다.
# iptables-save
13.8. 기본 방화벽 규칙
다음 트래픽은 기본 방화벽 구성에 따라 필터링됩니다.
13.8.1. 데이터센터 수신/발신 DROP/REJECT
방화벽의 입력 또는 출력 정책이 DROP 또는 REJECT로 설정된 경우 클러스터의 모든 Proxmox VE 호스트에 대해 다음 트래픽이 계속 허용됩니다.
- 루프백 인터페이스를 통한 트래픽
- 이미 설정된 연결
- IGMP 프로토콜을 사용하는 트래픽
- 웹 인터페이스에 대한 액세스를 허용하기 위해 관리 호스트에서 포트 8006으로의 TCP 트래픽
- 관리 호스트에서 VNC 웹 콘솔에 대한 트래픽을 허용하는 포트 범위 5900~5999까지의 TCP 트래픽
- SPICE 프록시 연결을 위해 관리 호스트에서 포트 3128로의 TCP 트래픽
- SSH 액세스를 허용하기 위해 관리 호스트에서 포트 22로의 TCP 트래픽
- corosync용 포트 5405-5412에 대한 클러스터 네트워크의 UDP 트래픽
- 클러스터 네트워크의 UDP 멀티캐스트 트래픽
- ICMP 트래픽 유형 3(대상에 연결할 수 없음), 4(혼잡 제어) 또는 11(시간 초과)
다음 트래픽은 삭제되지만 로깅이 활성화되어 있어도 기록되지 않습니다.
- 연결 상태가 잘못된 TCP 연결
- corosync와 관련되지 않은 브로드캐스트, 멀티캐스트 및 애니캐스트 트래픽, 즉 포트 5405-5412를 통해 들어오지 않음
- 포트 43에 대한 TCP 트래픽
- 포트 135 및 445에 대한 UDP 트래픽
- 포트 범위 137~139에 대한 UDP 트래픽
- UDP 트래픽은 소스 포트 137에서 포트 범위 1024~65535까지를 형성합니다.
- 포트 1900에 대한 UDP 트래픽
- 포트 135, 139 및 445에 대한 TCP 트래픽
- 소스 포트 53에서 발생하는 UDP 트래픽
나머지 트래픽은 각각 삭제되거나 거부되며 기록됩니다. 이는 NDP, SMURFS 및 TCP 플래그 필터링과 같은 Firewall → Options에서 활성화된 추가 옵션에 따라 달라질 수 있습니다.
출력을 검사해 보세요.
# iptables-save
시스템 명령을 사용하여 시스템에서 활성화된 방화벽 체인과 규칙을 확인합니다. 이 출력은 웹 GUI의 노드 구독 탭이나 pvereport 명령줄 도구를 통해 액세스할 수 있는 System Report에도 포함됩니다.
13.8.2. VM/CT 수신/발신 DROP/REJECT
이렇게 하면 설정된 구성에 따라 DHCP, NDP, 라우터 광고, MAC 및 IP 필터링을 제외하고 VM에 대한 모든 트래픽이 삭제되거나 거부됩니다. 패킷 삭제/거부에 대한 동일한 규칙은 데이터 센터에서 상속되지만 호스트의 허용된 수신/발신 트래픽에 대한 예외는 적용되지 않습니다.
다시 말하지만, iptables-save(위 참조)를 사용하여 적용된 모든 규칙과 체인을 검사할 수 있습니다.
13.9. 방화벽 규칙 로깅
기본적으로 방화벽 규칙에 의해 필터링된 트래픽의 모든 로깅은 비활성화되어 있습니다. 로깅을 활성화하려면 Firewall → Options에서 들어오고 나가는 트래픽의 로그 수준을 설정해야 합니다. 이는 호스트와 VM/CT 방화벽에 대해 개별적으로 수행할 수 있습니다. 이로써 Proxmox VE의 표준 방화벽 규칙에 대한 로깅이 활성화되고, Firewall → Log에서 출력을 확인할 수 있습니다. 또한 일부 삭제되거나 거부된 패킷만 표준 규칙에 대해 기록됩니다(기본 방화벽 규칙 참조).
loglevel은 필터링된 트래픽이 기록되는 양에 영향을 주지 않습니다. 보다 쉬운 필터링 및 사후 처리를 위해 로그 출력에 접두사로 추가된 LOGID를 변경합니다.
loglevel은 다음 플래그 중 하나입니다.
loglevel | LOGID |
---|---|
nolog | — |
emerg | 0 |
alert | 1 |
crit | 2 |
err | 3 |
warning | 4 |
notice | 5 |
info | 6 |
debug | 7 |
일반적인 방화벽 로그 출력은 다음과 같습니다.
VMID LOGID CHAIN TIMESTAMP POLICY: PACKET_DETAILS
호스트 방화벽의 경우 VMID는 0이다.
13.9.1. 사용자 정의 방화벽 규칙 로깅
사용자가 정의한 방화벽 규칙에 따라 필터링된 패킷을 기록하기 위해 각 규칙에 대한 로그 수준 매개변수를 개별적으로 설정할 수 있습니다. 이를 통해 Firewall → Options의 표준 규칙에 대해 정의된 로그 수준과 관계없이 세분화된 방식으로 로그인할 수 있습니다.
각 개별 규칙의 로그 수준은 규칙을 생성하거나 수정하는 동안 웹 UI에서 쉽게 정의하거나 변경할 수 있지만 해당 pvesh API 호출을 통해서도 이를 설정할 수 있습니다.
또한 선택한 규칙에 -log 을 추가하여 방화벽 구성 파일을 통해 로그 수준을 설정할 수도 있습니다(가능한 로그 수준 참조).
예를 들어, 다음 두 개는 동일합니다.
IN REJECT -p icmp -log nolog IN REJECT -p icmp
반면
IN REJECT -p icmp -log debug
디버그 수준으로 플래그가 지정된 로그 출력을 생성합니다.
13.10. 팁과 요령
13.10.1. FTP를 허용하는 방법
FTP는 포트 21과 기타 여러 동적 포트를 사용하는 구식 프로토콜입니다. 따라서 포트 21을 허용하는 규칙이 필요합니다. 또한 ip_conntrack_ftp 모듈을 로드해야 합니다. 따라서 다음을 실행하십시오:
modprobe ip_conntrack_ftp
그리고 ip_conntrack_ftp를 /etc/modules에 추가하세요(재부팅 후에도 작동하도록).
13.10.2. Suricata IPS 통합
Suricata IPS(침입 방지 시스템)를 사용하고 싶다면 가능합니다.
패킷은 방화벽이 패킷을 수락한 후에만 IPS로 전달됩니다.
거부/삭제된 방화벽 패킷은 IPS로 이동하지 않습니다.
proxmox 호스트에 suricata를 설치합니다:
# apt-get install suricata # modprobe nfnetlink_queue
다음 재부팅을 위해 nfnetlink_queue를 /etc/modules에 추가하는 것을 잊지 마십시오.
그런 다음 다음을 사용하여 특정 VM에 대해 IPS를 활성화합니다.
# /etc/pve/firewall/<VMID>.fw [OPTIONS] ips: 1 ips_queues: 0
ips_queues는 이 VM에 대한 특정 CPU 대기열을 바인딩합니다.
사용 가능한 대기열은 다음에 정의되어 있습니다.
# /etc/default/suricata NFQUEUE=0
13.11. IPv6에 대한 참고 사항
방화벽에는 몇 가지 IPv6 관련 옵션이 포함되어 있습니다. 한 가지 주목할 점은 IPv6는 더 이상 ARP 프로토콜을 사용하지 않고 대신 IP 수준에서 작동하므로 IP 주소가 성공해야 하는 NDP(Neighbor Discovery Protocol)를 사용한다는 것입니다. 이를 위해 인터페이스의 MAC 주소에서 파생된 링크 로컬 주소가 사용됩니다. 기본적으로 NDP(Neighbor Discovery) 패킷 전송 및 수신을 허용하기 위해 NDP 옵션은 호스트 및 VM 수준 모두에서 활성화됩니다.
이웃 검색 외에도 NDP는 자동 구성 및 광고 라우터와 같은 몇 가지 다른 용도로도 사용됩니다.
기본적으로 VM은 라우터 요청 메시지(라우터 쿼리)를 보내고 라우터 광고 패킷을 수신할 수 있습니다. 이를 통해 상태 비저장 자동 구성을 사용할 수 있습니다. 반면에 “라우터 광고 허용”(radv: 1) 옵션이 설정되지 않으면 VM은 자신을 라우터로 광고할 수 없습니다.
NDP에 필요한 링크 로컬 주소와 관련하여 활성화할 수 있는 “IP 필터”(ipfilter: 1) 옵션도 있습니다. 이는 해당 항목을 포함하는 각 VM의 네트워크 인터페이스에 대해 ipfilter-net* ipset를 추가하는 것과 동일한 효과를 갖습니다. 로컬 주소를 연결하세요. (자세한 내용은 표준 IP 세트 ipfilter-net* 섹션을 참조하세요.)
13.12. Proxmox VE에서 사용되는 포트
- 웹 인터페이스: 8006(TCP, TLS를 통한 HTTP/1.1)
- VNC 웹 콘솔: 5900-5999(TCP, WebSocket)
- SPICE 프록시: 3128(TCP)
- sshd(클러스터 작업에 사용됨): 22(TCP)
- rpcbind: 111(UDP)
- sendmail: 25(TCP, 발신)
- corosync 클러스터 트래픽: 5405-5412 UDP
- 실시간 마이그레이션(VM 메모리 및 로컬 디스크 데이터): 60000-60050(TCP)