Table of Contents

firewalld

ファイアウォール動作状況確認

# systemctl status firewalld

ファイアウォール再起動

# systemctl restart firewalld

デフォルトゾーン確認

# firewall-cmd --list-all

定義されているサービス一覧の表示

# firewall-cmd --get-services

デフォルトゾーンで許可されているサービスの確認

  • 出力は一例 
    # firewall-cmd --list-service
dns http https mdns mysql-vpn openvpn pop3s samba-vpn smtp smtp-submission smtps ssh-port

既存サービスの有効化(http)

firewalld を再起動/設定反映するまで反映されない。 

# firewall-cmd --permanent --add-service=http

ユーザ定義サービスの追加(sshd)

  • ポート変更。
  • 雛形を /usr/lib/firewalld/services から /etc/firewalld/services へコピーして編集する。 
    # cp -a /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-port.xml
  • /etc/firewalld/services/ssh-port.xml 
    <?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Port</short>
    <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="20022"/>
</service>
  • 既存のサービスを削除、修正したサービスを追加、反映。 
    # firewall-cmd --permanent --delete-service=ssh
# firewall-cmd --permanent --add-service=ssh-port
# firewall-cmd --reload

ユーザ定義サービスの追加(samba)

  • VPNクライアントからの接続のみを許可。OpenVPN#仮想NIC
  • 雛形を /usr/lib/firewalld/services から /etc/firewalld/services へコピーして編集する。 
    # cp -a /usr/lib/firewalld/services/samba.xml /etc/firewalld/services/samba-vpn.xml
  • /etc/firewalld/services/samba-vpn.xml 
    <?xml version="1.0" encoding="utf-8"?>
<service>
  <short>Samba</short>
  <description>This option allows you to access and participate in Windows file and printer sharing networks. You need the samba package installed for this option to be useful.</description>
  <port protocol="tcp" port="445"/>
  <destination ipv4="192.168.1.0/24"/>
</service>
  • 既存のサービスを削除、修正したサービスを追加、反映。 
    # firewall-cmd --permanent --delete-service=samba
# firewall-cmd --permanent --add-service=samba-vpn
# firewall-cmd --reload

デフォルトゾーンで許可されているポートの確認

# firewall-cmd --list-port

ポートの追加

firewalld を再起動/設定反映するまで反映されない。 

# firewall-cmd --permanent --add-port=30001/tcp

設定反映

# firewall-cmd --reload

Linux