Fedora18 第2弾(FirewallD)

FirewallDを調べる機会があったので、いろいろと調べたんですが、分からなくなってしまうので、メモメモ〆(.. )

以下に公式のサイトを紹介しておきます。日本語も用意されていて便利ですよねー(^^;)
そっちを見たほうが良かったりして。
https://fedoraproject.org/wiki/FirewallD/jp

それはさておき、FirewallDはiptablesを動作させたままルールを変更できるようにするサービスデーモンです。ルールを変更した際iptablesサービスの再起動が必要となり、再起動の際に一時的にFirewallのルールが無い状態になってしまうんですが、FirewallDは停止なしでできるようです。

FirewallDの起動等はsystemdなんですね。SystemV形式のものからsystemdを使ったものに変わっているんですよねー。

◆ FirewallDの起動/停止
systemctlを使ってFirewallDの起動や停止等が行えます

内容 コマンド
Firewalldの起動 # systemctl start firewalld
Firewalldの停止 # systemctl stop firewalld
Firewalldの再起動 # systemctl restart firewalld
Firewalldの状態表示 # systemctl status firewalld
Firewalldの自動起動 # systemctl enable firewalld
Firewalldの自動起動停止 # systemctl disable firewalld
firewalldを状態の情報を失わずにリロード # firewall-cmd --reload

/etc/sysconfig/iptablesを変更していつも設定しています。同じことができるのかと比較してみたんですが、少し差が。

■ 外部から内部へのsshサービスを永続的に有効化
iptables:

INPUT 1 -p tcp --dport 22 -m state --state NEW -j ACCEPT

FirewallD:

# firewall-cmd --add-service=ssh ←即時反映
# firewall-cmd --permanent --add-service=ssh ←永続設定

 

■ 内部から外部へのsshサービスを永続的に有効化
iptables:

OUTPUT 1 -p tcp --dport 22 -m state --state NEW -j ACCEPT

FirewallD:

永続的には設定できないできました!ここに記事が!

 

■ sshを192.168.0.20というホストに転送する。
iptables:

FORWARD -d 192.168.0.20 -p tcp --doprt 22 -j REDIRECT

FirewallD:

# firewall-cmd --add-forward-port=port=22:proto=tcp:toaddr=192.168.0.20 ←即時反映
# firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=192.168.0.20 ←永続設定

 

■ マスカレーディングを有効化する。
iptables:

POSTROUTING -o eth0 -j MASQUERADE

FirewallD:

# firewall-cmd --add-masquerade ←即時反映
# firewall-cmd --permanent --add-masquerade ←永続設定

 

外部へのアクセス設定として永続設定はできないようです。一時的にはできるようですが。
外部から通信許可ができればまー大丈夫かと思うんですが、自分が扱っているシステムではセキュリティとして低いので。。。もし、できる方法があるなら教えていただきたい。
後、間違えていたらごめんちゃい。
即時反映と永続反映の両方を実行する必要があるのでそこは注意すべきですね。

テクニカルな事もできますが、今のところ活用したことがない。。。

■ 60秒間だけpublic ゾーンでhttp サービスを有効化

# firewall-cmd --zone=public --add-service=http --timeout=60

 
最後に、設定ファイルはXML形式で書かれてるんですねー。
「/etc/firewalld/zones」に記載してありました。

もう少し使ってみると見えてくるところがあるかも(^^;)


コメントを残す

メールアドレスが公開されることはありません。