ほほほのほ - os:linux:centos:centos7 http://www.seirios.org/seirios/dokuwiki/ Wed, 06 May 2026 22:47:40 +0000 FeedCreator 1.8 http://www.seirios.org/seirios/dokuwiki/lib/exe/fetch.php?media=wiki:dokuwiki.svg ほほほのほ http://www.seirios.org/seirios/dokuwiki/ Firewalld http://www.seirios.org/seirios/dokuwiki/doku.php?id=os:linux:centos:centos7:firewalld <h1 class="sectionedit1" id="firewalld">Firewalld</h1> <div class="level1"> <p> <em><strong><em class="u"> LastUpdate: 2014/08/29 </em></strong></em> </p> <p> CentOS7からiptablesではなくfirewalldが標準になった。 </p> <p> firewalldはその内部でiptables/ip6tablesを使うので、kernelから見ればiptablesという話もあるが、使い方や設定が全然違うので、ここに簡単に記載する </p> </div> <!-- EDIT{&quot;target&quot;:&quot;section&quot;,&quot;name&quot;:&quot;Firewalld&quot;,&quot;hid&quot;:&quot;firewalld&quot;,&quot;codeblockOffset&quot;:0,&quot;secid&quot;:1,&quot;range&quot;:&quot;1-324&quot;} --> <h2 class="sectionedit2" id="とにかくメモ">とにかくメモ</h2> <div class="level2"> <ul> <li class="level1 node"><div class="li"> Firewalldの設定はfirewall-cmdを利用する。</div> <ul> <li class="level2"><div class="li"> 恐らく細かい設定情報はXMLファイルとして/etc/firewalld/配下におかれていると思う。XMLいじるのは嫌。</div> </li> </ul> </li> <li class="level1 node"><div class="li"> Firewalldは管理単位としてZoneを定義する。</div> <ul> <li class="level2"><div class="li"> defaultのZoneはpublicで、ここに全てのI/Fが割り当てられると思われる</div> </li> <li class="level2 node"><div class="li"> よくわかっていないが、恐らく I/F 毎にZoneを割り当てる形式なのだろうと思われる。</div> <ul> <li class="level3"><div class="li"> eth0: external, eth1=dmz, eth2=internal, eth3=internal 等</div> </li> </ul> </li> <li class="level2"><div class="li"> どのI/FがどのZoneに所属しているかは、firewall-cmd –get-zone-of-interface=[I/F名] で取れる</div> </li> <li class="level2"><div class="li"> どのZoneにどのI/Fが所属しているかは、firewall-cmd –list-all-zones で取れる</div> </li> <li class="level2"><div class="li"> あるZoneにI/Fを参加させるには、firewall-cmd [–permanent] [–zone=zone] –add-interface=[I/F名] を実行</div> </li> <li class="level2"><div class="li"> あるZoneからI/Fを削除するには、firewall-cmd [–permanent] [–zone=zone] –remove-interface=[I/F名] を実行</div> </li> <li class="level2"><div class="li"> defaultでI/Fが所属するZoneを表示するには、firewall-cmd –get-default-zone を実行</div> </li> <li class="level2"><div class="li"> defaultでI/Fを所属させるZoneを変更するには、firewall-cmd –set-default-zone=[Zone名] を実行</div> </li> <li class="level2"><div class="li"> 現在ActiveになっているZoneを取得するには、firewall-cmd –get-active-zones を実行</div> </li> <li class="level2"><div class="li"> 現在Serviceとして利用出来るService名を取得するには、firewall-cmd –get-services を実行</div> </li> <li class="level2 node"><div class="li"> Zoneの定義(設定)がどうなっているかは、firewall-cmd [–zone=Zone名] –list-allを実行</div> <ul> <li class="level3"><div class="li"> –zone を省略した場合、当然default zoneの情報になる。(自明)</div> </li> </ul> </li> <li class="level2"><div class="li"> 通信を許可されているServiceを確認するには、firewall-cmd [–zone=Zone名] –list-servicesを実行</div> </li> <li class="level2 node"><div class="li"> 通信を許可するServiceを追加するには、firewall-cmd [–permanent] [–zone=Zone名] –add-service=[service名]を実行</div> <ul> <li class="level3"><div class="li"> Service名は、firewall-cmd –get-servicesで取得したサービスを記載する</div> </li> <li class="level3"><div class="li"> –permanentを設定した場合、設定ファイルに記載される。</div> </li> </ul> </li> <li class="level2"><div class="li"> 通信を許可していたServiceを削除するには、firewall-cmd [–permanent] [–zone=Zone名] –remove-service=[service名]を実行</div> </li> <li class="level2 node"><div class="li"> 通信を許可されているportを確認するには、firewall-cmd [–zone=Zone名] –list-portsを実行</div> <ul> <li class="level3"><div class="li"> Serviceとして定義されているものは表示されないので注意</div> </li> </ul> </li> <li class="level2 node"><div class="li"> 通信を許可するportを追加するには、firewall-cmd [–permanent] [–zone=Zone名] –add-port=[port/prot]を実行</div> <ul> <li class="level3"><div class="li"> firewall-cmd –add-port=80/tcp # 80/TCPを開ける</div> </li> <li class="level3"><div class="li"> firewall-cmd –add-port=80-89/tcp # TCP 80番から89番までの9ポートを開ける</div> </li> </ul> </li> <li class="level2"><div class="li"> 通信を許可していたportを削除するには、firewall-cmd [–permanent] [–zone=Zone名] –remove-port=[port/prot]を実行</div> </li> <li class="level2"><div class="li"> その他、port-forwardやmasqueradeも設定出来る模様。</div> </li> </ul> </li> </ul> </div> <!-- EDIT{&quot;target&quot;:&quot;section&quot;,&quot;name&quot;:&quot;\u3068\u306b\u304b\u304f\u30e1\u30e2&quot;,&quot;hid&quot;:&quot;\u3068\u306b\u304b\u304f\u30e1\u30e2&quot;,&quot;codeblockOffset&quot;:0,&quot;secid&quot;:2,&quot;range&quot;:&quot;325-&quot;} --> anonymous@undisclosed.example.com (Anonymous) Fri, 29 Aug 2014 07:53:37 +0000