[WebLogic] Admin Console 특정 IP만 접속 가능하도록 제한

#. 참고 블로그

https://iingang.github.io/posts/WLS-admin-url/

 

---

 

#. 문제 상황

Admin Console 접속 시

아래와 같이 403 Forbidden 에러가 발생하며 화면 접속이 불가한 상황.

화면 상에는 Connection rejected 에러가 발생했다고 되어있음.

AdminServer 로그에는 별 다른 에러 로그가 기록되지 않음.

 

---

 

#. 문제 원인

위의 에러 화면은

특정 IP에서만 Admin Console 접속이 가능하도록 

보안 정책이 설정되어 있기 때문에 발생한다.

 

해당 설정이 적용되어 있는지 확인하기 위해 config.xml 을 확인한다.

아래와 같이 connection-filter-rule이 적용되어 있는지 확인한다.

 

우선 Admin Console에 접속하는 것이 급선무 이므로

모든 WebLogic 프로세스 종료 후 아래 3개의 태그를 삭제한다

<connection-filter>

<connection-filter-rule>

<connection-logger-enabled>

 

---

 

#. connection-filter 적용 가이드

Admin Console 접속

도메인 -> 보안 -> 필터 메뉴로 이동

 

#01. 접속 필터 란에 아래 내용을 작성

weblogic.security.net.ConnectionFilterImpl

 

 

#02. 접속 필터 규칙 입력

필터 규칙은 보통 아래와 같은 포맷으로 작성

#. 필터 적용 규칙

['TargetAddress'] ['LocalAddress'] ['LocalPort'] ['Action'] ['Protocols']
[적용하고자 하는 ip] [접속 하려는 ip] [instance port] [allow/deny] [허용/제한하려는 프로토콜]

=============================================

#. 주의사항

TargetAddress 와 LocalAddress 에는 * 도 사용 가능
* 적용 시 모든 주소에 적용된다

Protocols 에는 http, https, t3, t3s 등 설정 가능
설정하지 않으면 모든 프로토콜에 적용된다

 

 

---

 

#. connection-filter 적용 예시

특정 IP 주소에서 접속 허용

192.168.56.1 192.168.56.2 9000 allow

=> 192.168.56.1 주소에서 Admin Console 접속 허용
=> AdminServer 주소가 192.168.56.2:9000

 

 

특정 IP 대역에서 접속 허용

192.168.56.0/24 192.168.56.2 9000 allow

=> 192.168.56.0 ~ 192.168.56.24 범위의 주소에서 Admin Console 접속 허용
=> AdminServer 주소가 192.168.56.2:9000

 

 

특정 IP 주소 혹은 대역에서 접속 허용 + 그 외 모든 주소에서 접속 차단

192.168.56.1 192.168.56.2 9000 allow
192.168.56.0/24 192.168.56.2 9000 allow
* 192.168.56.2 9000 deny

=> 192.168.56.1 주소에서 Admin Console 접속 허용
=> 192.168.56.0 ~ 192.168.56.24 범위의 주소에서 Admin Console 접속 허용
=> 그 외에는 전부 접속 차단
=> AdminServer 주소가 192.168.56.2:9000

 

 

세팅 완료하면 아래와 같다