firewalldの設定(CentOS7)
初期設定について
firewalldではゾーンを定義し、そのゾーン毎にルールを設定してNICと紐づけをおこないます。 デフォルトゾーンとして「public」が設定されており、「public」の初期設定は以下のようになっています。
| Incoming(外部から仮想専用サーバーへの通信) | icmp,ssh, dhcpv6-clientのみ許可 |
| Outgoing(仮想専用サーバーから外部への通信) | すべて許可 |
# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client ssh ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules:
ポート監視サーバーの許可設定
ポート監視サーバー(203.138.84.18)からの通信を許可します。
- firewallコマンドでtrustedゾーンに「203.138.84.18」を追加します。オプションに--peranentを指定して永続的に有効にします。
# firewall-cmd --zone=trusted --permanent --add-source=203.138.84.18 Success - 設定を反映させます。
# firewall-cmd --reload Success - 設定を確認します。
「203.138.84.18」が許可されたことを確認します。
# firewall-cmd --list-all --zone=trusted trusted (active) target: ACCEPT icmp-block-inversion: no interfaces: sources: 203.138.84.18 services: ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules:
新規ルールの追加
すべての接続元からのHTTP通信(80/tcp)を許可します。
※ここでご案内している設定内容はあくまで一例です。詳細は、専門書籍また開発元のWebサイトをご確認ください。
- firewallコマンドで httpサービスをを許可する設定を追加します。オプションに--peranentを指定して永続的に有効にします。
# firewall-cmd --permanent --zone=public --add-service=http Success - 設定を反映させます。
# firewall-cmd --reload Success - 設定を確認します。 httpサービスが追加されていることを確認します。
# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client http ssh (省略)
