特定のポートへのアクセスは、ファイアウォール ゾーンに追加されていない限り、firewalld によってブロックまたはドロップされます。この投稿では、CentOS/RHEL 7 および 8 システムのファイアウォール ゾーンにソース、サービス、およびポートを追加する手順の概要を説明します。
ファイアウォール ゾーンへのサービスの追加
ファイアウォールを構成する最も簡単な方法は、ゾーンにサービスを追加することです。
– 新しいサービスへのアクセスを許可するには、「–add-service」サービス オプションを使用します。
– 「–permanent」を含めます。 再起動後もルールを永続化するオプション。
たとえば、コックピット、dhcpv6-client、http、https、vnc-server、および ssh サービスを internal ゾーンに追加するには、次のコマンドを使用します:
# firewall-cmd --add-service cockpit --zone=internal --permanent # firewall-cmd --add-service dhcpv6-client --zone=internal --permanent # firewall-cmd --add-service http --zone=internal --permanent # firewall-cmd --add-service https --zone=internal --permanent # firewall-cmd --add-service vnc-server --zone=internal --permanent # firewall-cmd --add-service ssh --zone=internal --permanent
トラフィック ソースに基づいてゾーンへの受信トラフィックを管理する
送信ノードからの受信トラフィックを許可するには、次のコマンドを使用します:
# firewall-cmd --add-source=10.1.2.3 --zone=internal --permanent
ネットワーク トラフィックの管理
– ゾーンのサービスを介したネットワーク トラフィックは、これらのサービスのポートを使用します。
– トラフィックを受け入れるためにポートを開く必要があります。ポート番号と関連するプロトコルを指定することで、ネットワーク アクセス用に追加のポートを開くことができます。
– 「–add-port」を使用します 」 特定のポートへのアクセスを許可するオプション。ポートは、ポート番号/ポート タイプの形式で指定する必要があります。
– ポート タイプは、tcp、udp、sctp、または dccp にすることができます。
– タイプとネットワーク トラフィックが一致していることを確認します。
– たとえば、ポート 1522、7001、5901、443、および 80 を tcp で追加し、ポート 53 を udp で追加するには、次のコマンドを使用します:
# firewall-cmd --zone=internal --add-port=1522/tcp --add-port=7001/tcp --add-port=5901/tcp --add-port=443/tcp --add-port=80/tcp --add-port=53/udp --permanent
設定を再読み込み
すべての変更が完了したら、構成を再読み込みして、現在の永続的な構成が新しいランタイム構成になるようにします。
# firewall-cmd --reload
リスト ゾーン構成
「内部」ゾーンで追加または有効化されたものをすべて一覧表示するには、次のコマンドを使用します:
# firewall-cmd --list-all --zone=internal internal target: default icmp-block-inversion: no interfaces: sources: 10.1.2.3 services: cockpit dhcpv6-client http https ssh vnc-server ports: 1522/tcp 7001/tcp 5901/tcp 443/tcp 80/tcp 53/udp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: