CentOS7のfirewall設定についての覚書
がじです。
前回、aipoのインストールのエントリー中に、「CentOS7ではiptablesではなく、”firewall-cmd”ってやつでファイヤーウォールの設定をするようです。」って書きましたが、なかなかコマンドが覚えられずに毎回ググるはめになるので、自分用の覚書でfirewall-cmdについて記述しておくことにしました。
誰得?オレ得です。そのためのブログなので
許可されているサービス・ポートを一覧で表示
firewall-cmd ––list-all ––zone=public
許可されているサービスを一覧で表示
firewall-cmd ––list-services ––zone=public
許可されているポートを一覧で表示
firewall-cmd ––list-ports ––zone=public
利用可能なサービス一覧
firewall-cmd ––get-services
許可するサービスの追加と削除
firewall-cmd ––add-service=ssh ––zone=public ––permanent
firewall-cmd ––remove-service=ssh ––zone=public ––permanent
許可するポートの追加と削除
firewall-cmd ––add-port=22/tcp ––zone=public ––permanent
firewall-cmd ––remove-port=22/tcp ––zone=public ––permanent
firewalldのリロード
firewall-cmd ––reload
このコマンドを打たないと入力したコマンドの結果がfirewallの実動作に反映されない(再起動すれば反映されるけど)コレ大事。結構このコマンド入力忘れてアレ?となります。ワタシの場合。
その他
firewall-cmd ––complete-reload
ってのもあります。このコマンドはネットフィルタカーネルモジュールを含めて完全にfirewallを再ロードするので、アクティブな接続が一度切断されるようです。危ないので最後の手段っぽいです。
このコマンド使うような状態だと、一般的なマシンの場合再起動が手っ取り早そうな気がしますが、運用中の大規模サーバーとかだと使うケースがあるのかしらん?多分ワタシは使わないと思います。
補足
コマンドオプションに––zone= という指定がありますね。
つまり––zoneにはpublic以外も設定できるということです。
man firewall-cmd
で調べてみると、zone毎にfirewallの設定をできるようです。
使用できるzone一覧を見るには
firewall-cmd ––list-all-zones
で見れます。デフォルトはpublicになっているようです。なおコマンドでデフォルトの設定を変えることもできます。
内部向けと外部向けでfirewallの設定を分けたり、作業領域だけゆるくするとかもできそうです。
zoneの追加と削除もfirewall-cmdでできます。
コマンドが変わると覚えることが増えるので困りものですが、使い勝手が上がっているのでこれは喜ぶべきかな。
従来通りのiptablesをインストールして設定する方法もあるようなのですが、そちらは調べきれてません。積極的にfirewall-cmdを使用していこうと思っています。
–––スポンサードリンク–––
–––
こんなバナーがあるとは・・・