RHEL / CentOS7およびFedora21で「FirewallD」を構成する方法


ネットフィルターは、Linuxのファイアウォールであることは誰もが知っています。 Firewalld は、ネットワークゾーンをサポートするファイアウォールを管理するための動的デーモンです。以前のバージョンのRHEL&CentOS 6では、パケットフィルタリングフレームワークのデーモンとしてiptablesを使用していました。 RHEL / CentOS 7 および Fedora 21 では、iptablesインターフェースがfirewalldに置き換えられています。

iptablesの代わりに Firewalld の使用を開始することをお勧めします。これは、将来廃止される可能性があるためです。ただし、iptablesは引き続きサポートされており、YUMコマンドを使用してインストールできます。 Firewalld iptables の両方を同じシステムに保持することはできません。これにより、競合が発生する可能性があります。

iptablesでは、以前は INPUT、OUTPUT、FORWARD CHAINS として構成していましたが、ここFirewalldでは、ゾーンを使用する概念です。デフォルトでは、firewalldで使用できるさまざまなゾーンがあります。これについては、この記事で説明します。

パブリックゾーンとプライベートゾーンのような基本ゾーン。これらのゾーンで問題を回避するには、指定されたゾーンサポートを備えたインターフェースを追加する必要があります。その後、firewalldにサービスを追加できます。

デフォルトでは、多くのサービスが利用可能です。firewalldの最も優れた機能の1つは、事前定義されたサービスが付属していることです。これらのサービスを例として、コピーするだけでサービスを追加できます。

Firewalldは、IPv4、IPv6、イーサネットブリッジでもうまく機能します。 Firewalldでは、実行時と永続的な構成を別々にすることができます。ゾーンを操作して独自のサービスを作成する方法と、firewalldのはるかにエキサイティングな使用法を始めましょう。

Operating System :	CentOS Linux release 7.0.1406 (Core)
IP Address       :	192.168.0.55
Host-name	:	server1.tecmintlocal.com

ステップ1:Firewalldパッケージのインストール

1. Firewalldパッケージは、デフォルトでRHEL/CentOS7およびFedora21にインストールされます。インストールされていない場合は、次の YUM コマンドを使用してインストールできます。

# yum install firewalld -y

2. Firewalldパッケージをインストールしたら、iptablesサービスが実行されているかどうかを確認します。実行されている場合は、以下のコマンドを使用してiptablesサービスを停止してマスク(使用しない)する必要があります。

# systemctl status iptables
# systemctl stop iptables
# systemctl mask iptables

手順2:ファイアウォールで保護されたコンポーネントについて説明する

3. Firewalld構成に進む前に、各ゾーンについて説明したいと思います。デフォルトでは、いくつかのゾーンが利用可能です。インターフェースをゾーンに割り当てる必要があります。ゾーンは、接続を取得するために、ゾーンがインターフェイスに対して信頼または拒否されたレベルであることを定義します。ゾーンには、サービスとポートを含めることができます。ここでは、Firewalldで利用可能な各ゾーンについて説明します。

  1. Drop Zone: Any incoming packets are dropped, if we use this drop zone. This is same as we use to add iptables -j drop. If we use the drop rule, means there is no reply, only outgoing network connections will be available.
  2. Block Zone: Block zone will deny the incoming network connections are rejected with an icmp-host-prohibited. Only established connections within the server will be allowed.
  3. Public Zone: To accept the selected connections we can define rules in public zone. This will only allow the specific port to open in our server other connections will be dropped.
  4. External Zone: This zone will act as router options with masquerading is enabled other connections will be dropped and will not accept, only specified connection will be allowed.
  5. DMZ Zone: If we need to allow access to some of the services to public, you can define in DMZ zone. This too have the feature of only selected incoming connections are accepted.
  6. Work Zone: In this zone, we can define only internal networks i.e. private networks traffic are allowed.
  7. Home Zone: This zone is specially used in home areas, we can use this zone to trust the other computers on networks to not harm your computer as every zone. This too allow only the selected incoming connections.
  8. Internal Zone: This one is similar to work zone with selected allowed connections.
  9. Trusted Zone: If we set the trusted zone all the traffic are accepted.

これでゾーンについての理解が深まりました。次のコマンドを使用して、使用可能なゾーン、デフォルトゾーンを見つけ、すべてのゾーンを一覧表示しましょう。

# firewall-cmd --get-zones
# firewall-cmd --get-default-zone
# firewall-cmd --list-all-zones

注:上記のコマンドの出力は、block、dmz、drop、external、home、internal、public、trusted、workなどのすべてのゾーンが一覧表示されるため、単一のページに収まりません。ゾーンにリッチルールがある場合、有効なサービスまたはポートもそれぞれのゾーン情報とともに一覧表示されます。

全著作権所有。 © Linux-Console.net • 2019-2022