Firewalldについての覚書き1

CentOS7で採用されたファイアウォールシステムFirewalldについての覚書です。従来のiptables/ip6tablesでは設定変更時にサービスの再起動が必要でしたがFirewalldでは設定を変更しても再起動は必要ありません。reloadコマンドで設定が反映されます。またFirewalldにはNICカード毎に設定を適用できる従来にはない機能があります。

1.設定ファイル

Firewallの設定ファイルは /etc/firewalld/zones にゾーン名.xmlで存在します。

.oldファイルで1世代前の情報も持っているようです。

2.ゾーン関連の設定と確認

Firewalldではゾーンという論理グループでサービス又はポートの割り当てを管理します。

ゾーンの例

Public:デフォルトのゾーン。公共領域での利用を想定。受信コネクションを選択的に許可。

drop:受信パケットは破棄。外部への通信とそれに関連する受信パケットだけを受信。

trusted:すべてのネットワークコネクションを許可。

(1)ゾーン関連の参照

Public,drop,trusted以外にもblock,dmz,external,home,internal,workなどあります。

詳しくはこちらのページをご参照ください。良くまとめられていて分かり易いです。

(2)デフォルトゾーンの調査

デフォルトはPublicゾーンです。

(3)現在の全ゾーン情報の表示

上記9つのゾーン情報を表示してくれます。縦に長いので途中でカット。

(4)ゾーンの設定情報表示

-permanentを指定すると永続的な設定の修飾ができます。

-zoneを指定すると対象とするゾーンを指定できます。

-zoneを指定しない場合はデフォルトのゾーンに対する操作になります。

3.サービス関連の設定と確認

サービス関連設定ファイルは/usr/lib/firewalld/services/「サービス名.xml」で存在します。
編集する場合は、/etc/firewalld/services/にコピーして行います。

(1)サービスの一覧を表示

ちょっと横に長すぎますが表示されます。

(2)パブリックゾーンで有効なサービス表示

(3)パブリックゾーンで永続的に有効なサービス

(4)HTTPサービスを公開(一時的/即時)

(5)HTTPサービスを公開(永続的)

–permanent付きで設定した場合は即時反映されない。

–permanent無しで設定するか後でまとめてreloadすれば設定が反映される。

(6)HTTPサービスの公開を停止

4.ポートの設定と確認
(1)現在開いているポート表示

(2)永続的に有効となっているポート表示

(3)ポート番号を指定して開く

(4)ポート番号を指定して閉じる

続きはFirewalldについての覚書き2

スポンサーリンク
レクタングル大広告




レクタングル大広告




シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
レクタングル大広告