Linux/RHEL7/firewalld

現状確認†

# firewall-cmd --list-all

インストール直後は， public ゾーンとなっている．

↑

有効なサービスのリスト†

# firewall-cmd --get-services

↑

設定例†

↑

設定目標†

2本足のサーバに対して

ens32(外側)は細かく制御
ens33(内側)は全許可(trusted ゾーン)

インタフェイス ens32 に入ってくる通信のうち，

tcp/22,80,443,465,587,993,995 は全て許可
tcp/cifs,25,123,110,143 は一部アドレスからのみ許可
特定の IP からの通信を DROP

↑

ens33 を trusted ゾーンへ†

# firewall-cmd --get-default-zone
public (<- ens32,ens33 とも public ゾーンに属している)
# firewall-cmd --zone=trusted --change-interface=ens33
(<- ens33 が trusted ゾーンに移った)

↑

All Accept の設定†

public ゾーンに属している ens32 への設定

# firewall-cmd --permanent --zone=public --add-service=ssh  <--デフォルト
# firewall-cmd --permanent --zone=public --add-service=http
# firewall-cmd --permanent --zone=public --add-service=https
# firewall-cmd --permanent --zone=public --add-service=imaps
# firewall-cmd --permanent --zone=public --add-service=pop3s
# firewall-cmd --permanent --zone=public --add-service=smtps
# firewall-cmd --permanent --zone=public --add-port=587/tcp (<-submission)

↑

一部アドレスからのみ許可の設定†

# firewall-cmd --permanent --zone=public \
  --add-rich-rule="rule family=ipv4 source address=192.168.100.0/24 service name=pop3 accept"

pop3 の部分を imap,ntp,samba,samba-client,smtp として同様に行う．

↑

特定の IP からの通信を DROP の設定†

# firewall-cmd --permanent --zone=public \
  --add-rich-rule="rule family=ipv4 source address=172.16.3.100 service name=smtp drop"

↑

設定の反映†

恒久的に設定した変更を反映させるために，firewall を再起動

# firewall-cmd --reload

検索

↑

Linux/RHEL7/firewalld

現状確認†

有効なサービスのリスト†

設定例†

設定目標†

ens33 を trusted ゾーンへ†

All Accept の設定†

一部アドレスからのみ許可の設定†

特定の IP からの通信を DROP の設定†

設定の反映†

検索

メニュー

最新の20件