os:linux:centos:centos7:firewalld
目次
Firewalld
LastUpdate: 2014/08/29
CentOS7からiptablesではなくfirewalldが標準になった。
firewalldはその内部でiptables/ip6tablesを使うので、kernelから見ればiptablesという話もあるが、使い方や設定が全然違うので、ここに簡単に記載する
とにかくメモ
- Firewalldの設定はfirewall-cmdを利用する。
- 恐らく細かい設定情報はXMLファイルとして/etc/firewalld/配下におかれていると思う。XMLいじるのは嫌。
- Firewalldは管理単位としてZoneを定義する。
- defaultのZoneはpublicで、ここに全てのI/Fが割り当てられると思われる
- よくわかっていないが、恐らく I/F 毎にZoneを割り当てる形式なのだろうと思われる。
- eth0: external, eth1=dmz, eth2=internal, eth3=internal 等
- どのI/FがどのZoneに所属しているかは、firewall-cmd –get-zone-of-interface=[I/F名] で取れる
- どのZoneにどのI/Fが所属しているかは、firewall-cmd –list-all-zones で取れる
- あるZoneにI/Fを参加させるには、firewall-cmd [–permanent] [–zone=zone] –add-interface=[I/F名] を実行
- あるZoneからI/Fを削除するには、firewall-cmd [–permanent] [–zone=zone] –remove-interface=[I/F名] を実行
- defaultでI/Fが所属するZoneを表示するには、firewall-cmd –get-default-zone を実行
- defaultでI/Fを所属させるZoneを変更するには、firewall-cmd –set-default-zone=[Zone名] を実行
- 現在ActiveになっているZoneを取得するには、firewall-cmd –get-active-zones を実行
- 現在Serviceとして利用出来るService名を取得するには、firewall-cmd –get-services を実行
- Zoneの定義(設定)がどうなっているかは、firewall-cmd [–zone=Zone名] –list-allを実行
- –zone を省略した場合、当然default zoneの情報になる。(自明)
- 通信を許可されているServiceを確認するには、firewall-cmd [–zone=Zone名] –list-servicesを実行
- 通信を許可するServiceを追加するには、firewall-cmd [–permanent] [–zone=Zone名] –add-service=[service名]を実行
- Service名は、firewall-cmd –get-servicesで取得したサービスを記載する
- –permanentを設定した場合、設定ファイルに記載される。
- 通信を許可していたServiceを削除するには、firewall-cmd [–permanent] [–zone=Zone名] –remove-service=[service名]を実行
- 通信を許可されているportを確認するには、firewall-cmd [–zone=Zone名] –list-portsを実行
- Serviceとして定義されているものは表示されないので注意
- 通信を許可するportを追加するには、firewall-cmd [–permanent] [–zone=Zone名] –add-port=[port/prot]を実行
- firewall-cmd –add-port=80/tcp # 80/TCPを開ける
- firewall-cmd –add-port=80-89/tcp # TCP 80番から89番までの9ポートを開ける
- 通信を許可していたportを削除するには、firewall-cmd [–permanent] [–zone=Zone名] –remove-port=[port/prot]を実行
- その他、port-forwardやmasqueradeも設定出来る模様。
os/linux/centos/centos7/firewalld.txt · 最終更新: 2014/08/29 16:53 by 127.0.0.1