CentOS7のfirewall設定についての覚書

LINEで送る
Pocket

がじです。

前回、aipoのインストールのエントリー中に、「CentOS7ではiptablesではなく、”firewall-cmd”ってやつでファイヤーウォールの設定をするようです。」って書きましたが、なかなかコマンドが覚えられずに毎回ググるはめになるので、自分用の覚書でfirewall-cmdについて記述しておくことにしました。

誰得?オレ得です。そのためのブログなので

許可されているサービス・ポートを一覧で表示

firewall-cmd ––list-all ––zone=public

許可されているサービスを一覧で表示

firewall-cmd ––list-services ––zone=public

許可されているポートを一覧で表示

firewall-cmd ––list-ports ––zone=public

利用可能なサービス一覧

firewall-cmd ––get-services

許可するサービスの追加と削除

firewall-cmd ––add-service=ssh ––zone=public ––permanent
firewall-cmd ––remove-service=ssh ––zone=public ––permanent

許可するポートの追加と削除

firewall-cmd ––add-port=22/tcp ––zone=public ––permanent
firewall-cmd ––remove-port=22/tcp ––zone=public ––permanent

firewalldのリロード

firewall-cmd ––reload

このコマンドを打たないと入力したコマンドの結果がfirewallの実動作に反映されない(再起動すれば反映されるけど)コレ大事。結構このコマンド入力忘れてアレ?となります。ワタシの場合。

その他

firewall-cmd ––complete-reload

ってのもあります。このコマンドはネットフィルタカーネルモジュールを含めて完全にfirewallを再ロードするので、アクティブな接続が一度切断されるようです。危ないので最後の手段っぽいです。
このコマンド使うような状態だと、一般的なマシンの場合再起動が手っ取り早そうな気がしますが、運用中の大規模サーバーとかだと使うケースがあるのかしらん?多分ワタシは使わないと思います。

補足

コマンドオプションに––zone= という指定がありますね。
つまり––zoneにはpublic以外も設定できるということです。

man firewall-cmd

で調べてみると、zone毎にfirewallの設定をできるようです。

使用できるzone一覧を見るには

firewall-cmd ––list-all-zones

で見れます。デフォルトはpublicになっているようです。なおコマンドでデフォルトの設定を変えることもできます。

内部向けと外部向けでfirewallの設定を分けたり、作業領域だけゆるくするとかもできそうです。
zoneの追加と削除もfirewall-cmdでできます。

コマンドが変わると覚えることが増えるので困りものですが、使い勝手が上がっているのでこれは喜ぶべきかな。

従来通りのiptablesをインストールして設定する方法もあるようなのですが、そちらは調べきれてません。積極的にfirewall-cmdを使用していこうと思っています。

–––スポンサードリンク–––



–––
こんなバナーがあるとは・・・

LINEで送る
Pocket