LastUpdate: 2014/08/29

CentOS7からiptablesではなくfirewalldが標準になった。

firewalldはその内部でiptables/ip6tablesを使うので、kernelから見ればiptablesという話もあるが、使い方や設定が全然違うので、ここに簡単に記載する

• Firewalldの設定はfirewall-cmdを利用する。
  • 恐らく細かい設定情報はXMLファイルとして/etc/firewalld/配下におかれていると思う。XMLいじるのは嫌。
• Firewalldは管理単位としてZoneを定義する。
  • defaultのZoneはpublicで、ここに全てのI/Fが割り当てられると思われる
  • よくわかっていないが、恐らく I/F 毎にZoneを割り当てる形式なのだろうと思われる。
    • eth0: external, eth1=dmz, eth2=internal, eth3=internal 等
  • どのI/FがどのZoneに所属しているかは、firewall-cmd –get-zone-of-interface=[I/F名] で取れる
  • どのZoneにどのI/Fが所属しているかは、firewall-cmd –list-all-zones で取れる
  • あるZoneにI/Fを参加させるには、firewall-cmd [–permanent] [–zone=zone] –add-interface=[I/F名] を実行
  • あるZoneからI/Fを削除するには、firewall-cmd [–permanent] [–zone=zone] –remove-interface=[I/F名] を実行
  • defaultでI/Fが所属するZoneを表示するには、firewall-cmd –get-default-zone を実行
  • defaultでI/Fを所属させるZoneを変更するには、firewall-cmd –set-default-zone=[Zone名] を実行
  • 現在ActiveになっているZoneを取得するには、firewall-cmd –get-active-zones を実行
  • 現在Serviceとして利用出来るService名を取得するには、firewall-cmd –get-services を実行
  • Zoneの定義(設定)がどうなっているかは、firewall-cmd [–zone=Zone名] –list-allを実行
    • –zone を省略した場合、当然default zoneの情報になる。(自明)
  • 通信を許可されているServiceを確認するには、firewall-cmd [–zone=Zone名] –list-servicesを実行
  • 通信を許可するServiceを追加するには、firewall-cmd [–permanent] [–zone=Zone名] –add-service=[service名]を実行
    • Service名は、firewall-cmd –get-servicesで取得したサービスを記載する
    • –permanentを設定した場合、設定ファイルに記載される。
  • 通信を許可していたServiceを削除するには、firewall-cmd [–permanent] [–zone=Zone名] –remove-service=[service名]を実行
  • 通信を許可されているportを確認するには、firewall-cmd [–zone=Zone名] –list-portsを実行
    • Serviceとして定義されているものは表示されないので注意
  • 通信を許可するportを追加するには、firewall-cmd [–permanent] [–zone=Zone名] –add-port=[port/prot]を実行
    • firewall-cmd –add-port=80/tcp # 80/TCPを開ける
    • firewall-cmd –add-port=80-89/tcp # TCP 80番から89番までの9ポートを開ける
  • 通信を許可していたportを削除するには、firewall-cmd [–permanent] [–zone=Zone名] –remove-port=[port/prot]を実行
  • その他、port-forwardやmasqueradeも設定出来る模様。