RIGHT:[[Linux 関係覚え書き]] *現状確認 [#acc212ab] # firewall-cmd --list-all インストール直後は, public ゾーンとなっている. *有効なサービスのリスト [#h665d9be] # firewall-cmd --get-services *設定例 [#s6b5b110] **設定目標 [#o996a0da] 2本足のサーバに対して -ens32(外側)は細かく制御 -ens33(内側)は全許可(trusted ゾーン) インタフェイス ens32 に入ってくる通信のうち, -tcp/22,80,443,465,587,993,995 は全て許可 -tcp/cifs,25,123,110,143 は一部アドレスからのみ許可 -特定の IP からの通信を DROP **ens33 を trusted ゾーンへ [#s6a64735] # firewall-cmd --get-default-zone public (<- ens32,ens33 とも public ゾーンに属している) # firewall-cmd --zone=trusted --change-interface=ens33 (<- ens33 が trusted ゾーンに移った) **All Accept の設定 [#v6ca2c43] public ゾーンに属している ens32 への設定 # firewall-cmd --permanent --zone=public --add-service=ssh <--デフォルト # firewall-cmd --permanent --zone=public --add-service=http # firewall-cmd --permanent --zone=public --add-service=https # firewall-cmd --permanent --zone=public --add-service=imaps # firewall-cmd --permanent --zone=public --add-service=pop3s # firewall-cmd --permanent --zone=public --add-service=smtps # firewall-cmd --permanent --zone=public --add-port=587/tcp (<-submission) **一部アドレスからのみ許可の設定 [#m253bdfa] # firewall-cmd --permanent --zone=public \ --add-rich-rule="rule family=ipv4 source address=192.168.100.0/24 service name=pop3 accept" pop3 の部分を imap,ntp,samba,samba-client,smtp として同様に行う. **特定の IP からの通信を DROP の設定 [#z7c8260f] # firewall-cmd --permanent --zone=public \ --add-rich-rule="rule family=ipv4 source address=172.16.3.100 service name=smtp drop" *設定の反映 [#v62e8743] 恒久的に設定した変更を反映させるために,firewall を再起動 # firewall-cmd --reload