firewalld は、ホストレベルのファイアウォールを管理するための Red Hat Enterprise Linux 7 のデフォルトの方法です。 firewalld から開始します。 service systemd サービス、firewalld は、低レベルの iptables、ip6tables、および ebtables コマンドを使用して、Linux カーネルの netfilter サブシステムを管理します。
firewalld ゾーンのデフォルト設定
| ゾーン名 | デフォルト設定 |
|---|---|
| 信頼できる | すべての受信トラフィックを許可します。 |
| ホーム | 送信トラフィックに関連する場合、または ssh、mdns、ipp-client、samba-client、または dhcpv6-client の定義済みサービスに一致する場合を除き、受信トラフィックを拒否します。 |
| 内部 | 送信トラフィックに関連する場合、または ssh、mdns、ipp-client、samba-client、または dhcpv6-client の事前定義されたサービス (最初のホーム ゾーンと同じ) に一致する場合を除き、受信トラフィックを拒否します。 |
| 仕事 | 送信トラフィックに関連するもの、または ssh、ipp – クライアント、または dhcpv6 – クライアントの定義済みサービスに一致しない限り、受信トラフィックを拒否します。 |
| 公開 | 送信トラフィックに関連しない限り、または ssh または dhcpv6 – クライアント定義済みサービスに一致しない限り、受信トラフィックを拒否します。新しく追加されたネットワーク インターフェイスのデフォルト ゾーン |
| 外部 | 送信トラフィックに関連しない限り、または ssh 定義済みサービスに一致しない限り、受信トラフィックを拒否します。このゾーンを介して転送される発信 1Pv4 トラフィックは、発信ネットワーク インターフェースの 1Pv4 アドレスから発信されたように偽装されます。 |
| dmz | 送信トラフィックに関連しない限り、または ssh 定義済みサービスに一致しない限り、受信トラフィックを拒否します。 |
| ブロック | 送信トラフィックに関連しない限り、すべての受信トラフィックを拒否します。 |
| ドロップ | 送信トラフィックに関連しない限り、すべての受信トラフィックをドロップします (ICMP エラーで応答しません)。 |
Firewalld コマンドライン リファレンス
| firewall -cmd コマンド | 説明 |
|---|---|
| –get-default-zone | 現在のデフォルト ゾーンを照会します。 |
| –set-default-zone=[ゾーン] | デフォルト ゾーンを設定します。これにより、ランタイムと永続的な構成の両方が変更されます。 |
| –get-zones | 利用可能なすべてのゾーンを一覧表示します。 |
| –get-services | 事前定義されたすべてのサービスを一覧表示します。 |
| –get-active-zones | 現在使用中のすべてのゾーン (インターフェースまたはソースが関連付けられている) を、それらのインターフェースおよびソース情報とともに一覧表示します。 |
| –add-source=[CIDR] [ –zone=[ZONE] | IP アドレスまたはネットワーク/ネットマスク [CIDR] からのすべてのトラフィックを指定されたゾーンにルーティングします。 –zone=オプションが指定されていない場合、デフォルトのゾーンが使用されます。 |
| –remove-source=[CIDR] [ –zone=[ZONE] | 指定されたゾーンの IP アドレスまたはネットワーク/ネットマスク [CIDR] からのすべてのトラフィックをルーティングするルールを削除します。 –zone=オプションが指定されていない場合、デフォルトのゾーンが使用されます。 |
| –add-interface=[インターフェース] [–zone=[ゾーン] | [INTERFACE] からのすべてのトラフィックを指定されたゾーンにルーティングします。 –zone=オプションが指定されていない場合、デフォルトのゾーンが使用されます。 |
| –change -interface=[INTERFACE] [–zone=[ZONE] | インターフェイスを現在のゾーンではなく [ZONE] に関連付けます。 –zone=オプションが指定されていない場合、デフォルトのゾーンが使用されます。 |
| –list-all [–zone=[ZONE]] | [ZONE] の構成済みインターフェース、ソース、サービス、およびポートをすべてリストします。 –zone=オプションが指定されていない場合、デフォルトのゾーンが使用されます。 |
| –list-all-zones | すべてのゾーンのすべての情報を取得します (インターフェース、ソース、ポート、サービスなど)。 |
| –add-service=[サービス] | [SERVICE] へのトラフィックを許可します。 –zone=オプションが指定されていない場合、デフォルトのゾーンが使用されます。 |
| –add-port=[ポート/プロトコル] | [PORT/ PROTOCOL] ポートへのトラフィックを許可します。 –zone=オプションが指定されていない場合、デフォルトのゾーンが使用されます。 |
| –remove-service=[サービス] | ゾーンの許可リストから [SERVICE] を削除します。 –zone=オプションが指定されていない場合、デフォルトのゾーンが使用されます。 |
| –remove-port=[ポート/プロトコル] | ゾーンの許可リストから [PORT/PROTOCOL] ポートを削除します。 –zone=オプションが指定されていない場合、デフォルトのゾーンが使用されます。 |
| –リロード | ランタイム構成を削除し、永続構成を適用します。 |