quinaengのブログ

ねっとわあくえんじにあです。くいなのらくがきちょうです。

CentOS7 セキュリティ設定 ファイアウォール編

ファイアウォール

CentOS7では従来のiptablesに代わって、firewalldによってファイアウォール機能が提供されている。

コマンド操作による設定のほか、GUI設定ツールを用いた設定も可能になっている。

 

サーバの用途によってゾーンを切り替える

firewalldではゾーンという利用用途に応じた設定群を用意している。

設置するサーバーの利用用途や状況、ネットワークインターフェースごとにゾーンを設定する。特定のIPアドレスに対してのみに異なるゾーンを設定することも可能になっている。

 

・external

選択したホストのみ信頼してアクセスを許可する

dmz

外部からのアクセスを受ける。しかし、内部ネットワークへのアクセスを制限する

・work

作業をするためのゾーン。設定したアクセスを許可する

・home

設定したアクセスを許可する

・internal

内部ネットワークに対してのゾーン

・trusted

全てのアクセスを許可する

 

パーソナルメンターがつくオンラインブートキャンプ

設定例

特定のIPアドレスからのアクセスを拒否

firewall-cmd -zone drop --add-source=IPアドレス/サブネットマスク

 

上記の設定を元に戻す

firewall-cmd -zone drop --remove-source=IPアドレス/サブネットマスク

 

許可されているサービスの確認

firewall-cmd --zone=public --list-service

 

設定可能なサービス一覧を表示する

firewall-cmd --get-services

 

サービスを許可する

firewall-cmd --permanent --zone=public --add-service=サービス(http、fpt等)

 

上記の設定を元に戻す

firewall-cmd --permanent --zone=public --remove-service=サービス(http、fpt等)

 

サービスに準備されていないポートを許可する

firewall-cmd --permanent --zone=public --add-port=ポート番号/(tcp or udp)

 

firewalldのリロード

firewall-cmd --reload

 

設定変更を行った場合は必ずリロードを行ってください。

設定が反映されません。