CentOS7で採用されたファイアウォールシステムFirewalldについての覚書2です。記事が長くなったので2つに分割しました。
目次
5.インターフェース(NIC)の設定と確認
(1)デフォルトゾーンの表示
|
1 2 3 4 5 6 7 8 9 |
# firewall-cmd --get-active-zones dmz interfaces: eth1 drop sources: 192.168.0.0/24 public interfaces: eth0 trusted interfaces: eth2 |
(2)eth1に適用するゾーンを変更
–change-interface=XXXでNICの適用ゾーンを変更できます。
|
1 2 |
# firewall-cmd --change-interface=eth1 --zone=trusted success |
(3)仮想NICをゾーンに追加
–add-interface=XXXでNICをゾーンに追加できます。
|
1 2 |
# firewall-cmd --permanent --zone=trusted --add-interface=tun0 success |
6.特定のIPアドレスに対する設定と確認
(1)IPアドレス指定の接続拒否(即時反映と永続化)
|
1 2 |
# firewall-cmd --zone=drop --add-source=192.168.0.0/24 # firewall-cmd --zone=drop --permanent --add-source=192.168.0.0/24 |
設定を確認します。
|
1 2 3 4 5 6 7 8 9 |
# firewall-cmd --get-active-zones dmz interfaces: eth1 drop sources: 192.168.0.0/24 public interfaces: eth0 trusted interfaces: eth2 |
dropゾーンに指定したサブネットが追加されています。
(2)拒否したIPアドレスの設定を解除
–remove-sourceを指定するとdropゾーンに指定したIPを解除できます。
|
1 2 |
# firewall-cmd --zone=drop --remove-source=192.168.0.0/24 # firewall-cmd --zone=drop --permanent --remove-source=192.168.0.0/24 |
7.Directコマンド
(1)IPマスカレード転送設定(OpenVPN用)
OPENVPNの仮想LANからメインのLANへのNAT通信を許可する
|
1 |
# firewall-cmd --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE |
(2)Direct コマンドの設定確認
Directコマンドに登録されているルールをすべて表示する。
|
1 |
# firewall-cmd --direct --get-all-rules |
設定ファイルは以下にあります。
# less /etc/firewalld/direct.xml
8.起動と自動起動・設定反映
(1)ファイアウォールの開始/停止
|
1 2 |
# systemctl start firewalld # systemctl stop firewalld |
(2)ファイアウォールの自動起動設定
|
1 |
# systemctl enable firewalld |
(3)ファイアウォールの再起動
|
1 |
# systemctl restart firewalld |
(4)ファイアウォールの設定反映
修正した設定情報を再起動無で即時反映させます。
|
1 |
# firewall-cmd --reload |