FirewallDは、CentOS7サーバーでデフォルトで使用できるファイアウォール管理ツールです。これは、iptablesルールを管理するファイアウォール管理ソリューションの一種です。基本的に、FirewallDはデフォルトのファイアウォール管理ツールとしてiptablesに取って代わります。
ここLinuxAPTでは、サーバー管理サービスの一環として、お客様が関連するFirewallDクエリを実行するのを定期的に支援しています。
これに関連して、CentOS7サーバーでfirewalldをセットアップする方法といくつかの基本的なFirewallDの概念を検討します。
Firewalldの基本概念
FirewallDは、iptablesのルールとチェーンの代わりに、サービスとゾーンの概念を使用します。これを使用して、システムとの間で許可または禁止するトラフィックを構成できます。 FirewallDは、firewall-cmdユーティリティを使用してファイアウォール構成を管理しています。
FirewallDゾーン
ゾーンは、コンピューターが接続されているネットワークに対する信頼のレベルに応じて、許可するトラフィックを指定する一連のルールです。ネットワークインターフェイスとソースをゾーンに割り当てることができます。
以下は、FirewallDに含まれる事前定義されたゾーンで、ゾーンの信頼レベルから信頼度の低いものから信頼性の高いものの順になっています。
- drop:すべての着信接続は応答なしでドロップされます。発信接続のみが許可されます。これは最低レベルの信頼です。
- ブロック:これは上記と同じですが、すべての着信接続がicmp-host-prohibitedまたはicmp6-adm-prohibitedメッセージで拒否されます。発信接続のみが許可されます。
- public:これは信頼できないパブリックエリアを表します。ネットワーク上の他のコンピューターを信頼していませんが、選択した着信接続を許可している可能性があります。
- 外部:ファイアウォールをゲートウェイとして使用している場合の外部ネットワーク。内部ネットワークがプライベートでありながら到達可能であるように、NATマスカレード用に構成されています。
- 内部:内部ネットワーク内のコンピューターの場合、選択した着信接続のみが受け入れられます。
- dmz:DMZ非武装地帯、公的にアクセス可能で、内部ネットワークへのアクセスが制限されています。選択された着信接続のみが受け入れられます。
- work:作業機械に使用されます。ネットワーク内のほとんどのコンピューターを信頼します。さらにいくつかのサービスが許可される可能性があります。
- home:家庭用機械に使用されます。ネットワーク上の他のコンピューターは一般的に信頼できます。選択した着信接続のみが許可されます。
- 信頼できる:すべてのネットワーク接続が受け入れられます。ネットワーク内のすべてのコンピューターを信頼します。
ファイアウォールサービス
FirewallDサービスはxml構成ファイルであり、ゾーン内に適用され、特定のサービスの着信トラフィックを許可するために必要な設定を定義する事前定義されたルールがあります。 xml構成ファイルは/usr/ lib / firewalld /services/および/etc/ firewalld /services/ディレクトリーに保管されます。
FirewallDをインストールして有効にする方法は?
このインストール手順に進む前に、sudoが有効なユーザーアカウントまたはrootユーザーでログインしていることを確認してください。
デフォルトでは、FirewalldはCentOS 7で使用できます。システムにない場合は、以下のコマンドを実行してパッケージをインストールできます。
$ sudo yum install firewalld
Firewalldサービスはデフォルトで無効になっています。ファイアウォールのステータスは次の方法で確認できます:
$ sudo firewall-cmd --state
今すぐインストールしたか、以前にアクティブ化していない場合は、実行されていない状態で印刷されます。そうでない場合は、実行中と印刷されます。
次のように入力して、FirewallDサービスを開始し、起動時に有効にすることができます。
$ sudo systemctl start firewalld
$ sudo systemctl enable firewalld
FirewallDでファイアウォールを設定する方法は?
デフォルトでは、FirewallDサービスを有効にすると、パブリックゾーンがデフォルトゾーンになります。次のように入力すると、デフォルトゾーンのリストを取得できます。
$ sudo firewall-cmd --get-default-zone
使用可能なすべてのゾーンのリストを取得するには、以下のコマンドを実行します。
$ sudo firewall-cmd --get-zones
すべてのネットワークインターフェースにはデフォルトゾーンが割り当てられています。ネットワークインターフェースで使用されているゾーンを確認するには、次のように入力します。
$ sudo firewall-cmd --get-active-zones
ゾーン構成設定は、次のコマンドで印刷できます:
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
ファイアウォールのデフォルトゾーンを変更する方法は?
デフォルトゾーンを変更するには、–set-default-zoneフラグに続けて、デフォルトにするゾーンの名前を使用します。たとえば、デフォルトゾーンをホームに変更するには、次のコマンドを実行する必要があります。
$ sudo firewall-cmd --set-default-zone=dmz
次のコマンドで変更を確認します:
$ sudo firewall-cmd --get-default-zone
HTTPおよびHTTPSのFirewallDルールを許可するには
HTTPおよびHTTPSの永続的なサービスルールをdmzゾーンに追加するには、次のコマンドを実行します。
$ firewall-cmd --zone=dmz --add-service=http --permanent
$ firewall-cmd --zone=dmz --add-service=https --permanent