CentOS7でFirewallDを設定する方法を紹介します 。 FirewallDは、CentOS7サーバーでデフォルトで使用できるファイアウォール管理ツールです。基本的に、これはiptablesのラッパーであり、グラフィカル構成ツールfirewall-configとコマンドラインツールfirewall-cmdが付属しています。 iptablesサービスでは、すべての変更で古いルールをフラッシュし、 `/ etc / sysconfig / iptables`ファイルから新しいルールを読み取る必要がありますが、firewalldでは違いのみが適用されます。 CentOS7でのFirewallDのセットアップと構成 10分もかからず、かなり簡単なプロセスです。
1。 FirewallDゾーン
FirewallDは、iptablesのルールとチェーンの代わりにサービスとゾーンを使用します。デフォルトでは、次のゾーンを使用できます。
- ドロップ –応答なしですべての着信ネットワークパケットをドロップします。発信ネットワーク接続のみが使用可能です。
- ブロック –icmp-host-prohibitedメッセージを含むすべての着信ネットワークパケットを拒否します。発信ネットワーク接続のみが使用可能です。
- 公開 –公共エリアで使用するために、選択された着信接続のみが受け入れられます
- 外部 マスカレードが有効になっている外部ネットワークの場合、選択された着信接続のみが受け入れられます。
- dmz – DMZ非武装地帯。公的にアクセス可能で、内部ネットワークへのアクセスが制限されています。選択された着信接続のみが受け入れられます。
- 仕事 –ホームエリアのコンピューターの場合、選択した着信接続のみが受け入れられます。
- 自宅 –ホームエリアのコンピューターの場合、選択した着信接続のみが受け入れられます。
- 内部 -内部ネットワーク内のコンピューターの場合、選択した着信接続のみが受け入れられます。
- 信頼できる –すべてのネットワーク接続が受け入れられます。
使用可能なすべてのゾーンを一覧表示するには、次のコマンドを実行します。
# firewall-cmd --get-zones work drop internal external trusted home dmz public block
デフォルトゾーンを一覧表示するには:
# firewall-cmd --get-default-zone public
デフォルトゾーンを変更するには:
# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz
2。 FirewallDサービス
FirewallDサービスは、firewalldのサービスエントリの情報を含むxml構成ファイルです。実行されているすべての利用可能なサービスを一覧表示するには:
# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
xml構成ファイルは/usr/lib/firewalld/services/に保存されます および/etc/firewalld/services/ ディレクトリ。
3。 FirewallDを使用したファイアウォールの構成
例として、Webサーバー、ポート7022のSSH、およびメールサーバーを実行している場合にFirewallDを使用してRoseHostingVPSファイアウォールを構成する方法を次に示します。
まず、デフォルトのゾーンをdmzに設定します。
# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz
HTTPおよびHTTPSの永続的なサービスルールをdmzゾーンに追加するには、次のコマンドを実行します。
# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent
ポート25(SMTP)とポート465(SMTPS)を開きます:
firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --permanent
オープン、IMAP、IMAPS、POP3、POP3Sポート:
firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=imaps --permanent firewall-cmd --zone=dmz --add-service=pop3 --permanent firewall-cmd --zone=dmz --add-service=pop3s --permanent
4。ポート7022を開く
SSHポートが7022に変更されたため、sshサービス(ポート22)を削除し、ポート7022を開きます
firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent
5。ファイアウォールをリロードする
変更を実装するには、ファイアウォールを次のようにリロードする必要があります:
firewall-cmd --reload
6。ファイアウォールルールの一覧表示
最後に、次のルールを一覧表示できます:
# firewall-cmd --list-all dmz target: default icmp-block-inversion: no interfaces: sources: services: http https imap imaps pop3 pop3s smtp smtps ports: 7022/tcp protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules:
もちろん、CentOS7でFirewallDを設定する必要はありません 、CentOS VPSホスティングサービスのいずれかを使用している場合は、専門のLinux管理者にセットアップを依頼するだけです。 24時間年中無休でご利用いただけます。リクエストはすぐに処理されます。
PS 。この投稿が気に入った場合は、CentOS7にFirewallDをインストールする 、共有ボタンを使用してソーシャルネットワークで友達と共有するか、下に返信を残してください。ありがとう。