Linuxファイアウォールfirewalldの応用
3301 ワード
目次
Firewalldの概要
きほんめいれい
Firewalldパラメータ解釈内容を読む前にパラメータ解釈を理解する
コマンドの表示
ポートの追加
サービスの追加
ファイアウォール構成の再ロード
Firewalldの概要
FirewalldはLinux上の新しいファイアウォールソフトウェアで、iptablesとはあまり差のないツールです.Firewalldはcentos 7/8の大きな特性であり、2つの大きな利点があります.動的更新をサポートし、サービスを再起動する必要はありません.ファイアウォールの「zone」コンセプトが加わった.Firewallは、ネットワーク/ファイアウォール領域(zone)定義のネットワークリンクおよびインタフェースセキュリティレベルをサポートする動的ファイアウォール管理ツールを提供します.IPv 4、IPV 6ファイアウォール設定、イーサネットブリッジをサポートし、ランタイム構成と永続構成オプションを備えています.また、サービスまたはアプリケーションがファイアウォールルールを直接追加できるインタフェースもサポートされています.従来のsystem-config-firewall/lokkitファイアウォールモデルは静的であり、変更するたびにファイアウォールの完全な再起動が要求されていた.このプロセスには、カーネルnetfilterファイアウォールモジュールのアンインストールや、新しい構成に必要なモジュールのマウントなどが含まれます.モジュールのアンインストールは、ステータスファイアウォールと確立された接続を破壊します.逆にfirewall daemonはファイアウォールを動的に管理し、ファイアウォール全体を再起動する必要がなく変更を適用します.したがって、すべてのカーネルファイアウォールモジュールを再ロードする必要はありません.ただし、firewall daemonを使用するには、ファイアウォールのすべての変更が、そのデーモンプロセスによって実現され、デーモンプロセスのステータスとカーネル内のファイアウォールが一致していることを確認する必要があります.Firewalldは、iptablesのように、ルールを変更した後、すべてリフレッシュしてから有効になるように、単一のルールを動的に変更できます.Firewalldはiptablesよりも人間的に使われています.Firewalld自体はファイアウォールの機能を備えていないが、iptablesと同様にカーネルのnetfilterで実現する必要がある.つまりfirewalldはiptablesと同様に、ルールを維持するために使われているが、本当にルールを使って働いているのはカーネルのnetfilterである.
きほんめいれい
Firewalldパラメータ解釈内容を読む前にパラメータ解釈を理解する
-add-service#追加のサービス–zone#役割ドメイン–add-port=80/tcp#追加ポート、フォーマット:ポート/通信プロトコル–permanent#は永久に有効で、このパラメータが再起動してから失効しません
コマンドの表示
ポートの追加
サービスの追加
ファイアウォール構成の再ロード
Firewalldの概要
きほんめいれい
Firewalldパラメータ解釈内容を読む前にパラメータ解釈を理解する
コマンドの表示
ポートの追加
サービスの追加
ファイアウォール構成の再ロード
Firewalldの概要
FirewalldはLinux上の新しいファイアウォールソフトウェアで、iptablesとはあまり差のないツールです.Firewalldはcentos 7/8の大きな特性であり、2つの大きな利点があります.動的更新をサポートし、サービスを再起動する必要はありません.ファイアウォールの「zone」コンセプトが加わった.Firewallは、ネットワーク/ファイアウォール領域(zone)定義のネットワークリンクおよびインタフェースセキュリティレベルをサポートする動的ファイアウォール管理ツールを提供します.IPv 4、IPV 6ファイアウォール設定、イーサネットブリッジをサポートし、ランタイム構成と永続構成オプションを備えています.また、サービスまたはアプリケーションがファイアウォールルールを直接追加できるインタフェースもサポートされています.従来のsystem-config-firewall/lokkitファイアウォールモデルは静的であり、変更するたびにファイアウォールの完全な再起動が要求されていた.このプロセスには、カーネルnetfilterファイアウォールモジュールのアンインストールや、新しい構成に必要なモジュールのマウントなどが含まれます.モジュールのアンインストールは、ステータスファイアウォールと確立された接続を破壊します.逆にfirewall daemonはファイアウォールを動的に管理し、ファイアウォール全体を再起動する必要がなく変更を適用します.したがって、すべてのカーネルファイアウォールモジュールを再ロードする必要はありません.ただし、firewall daemonを使用するには、ファイアウォールのすべての変更が、そのデーモンプロセスによって実現され、デーモンプロセスのステータスとカーネル内のファイアウォールが一致していることを確認する必要があります.Firewalldは、iptablesのように、ルールを変更した後、すべてリフレッシュしてから有効になるように、単一のルールを動的に変更できます.Firewalldはiptablesよりも人間的に使われています.Firewalld自体はファイアウォールの機能を備えていないが、iptablesと同様にカーネルのnetfilterで実現する必要がある.つまりfirewalldはiptablesと同様に、ルールを維持するために使われているが、本当にルールを使って働いているのはカーネルのnetfilterである.
きほんめいれい
# , firewalld
systemctl status firewalld
# firewalld
yum install firewalld
#
systemctl start firewalld
#
systemctl stop firewalld
#
systemctl enable firewalld
#
systemctl disable firewalldFirewalldパラメータ解釈内容を読む前にパラメータ解釈を理解する
-add-service#追加のサービス–zone#役割ドメイン–add-port=80/tcp#追加ポート、フォーマット:ポート/通信プロトコル–permanent#は永久に有効で、このパラメータが再起動してから失効しません
コマンドの表示
#
firewall-cmd --get-active-zones
#
firewall-cmd --zone=public --list-ports
#
firewall-cmd --zone=public --query-port=8080/tcp
#
firewall-cmd --permanent --zone=public --list-ports
#
firewall-cmd --zone=public --list-rich-rules
#
firewall-cmd --get-service
#
firewall-cmd --list-serviceポートの追加
#
firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp
#
#firewall-cmd --zone=public --add-port=8080/tcp
# 192.168.3.3 80
firewall-cmd --permanent --zone=public --add-rich-rule='
rule family="ipv4"
source address="192.168.3.3/32"
port protocol="tcp" port="80" accept'
# :
firewall-cmd --permanent --zone=public --add-rich-rule='
rule family="ipv4"
source address="192.168.3.3/32"
port protocol="tcp" port="80" reject'
# IP
firewall-cmd --permanent --zone=public --add-rich-rule='
rule family="ipv4"
source address="192.168.3.3/32" accept';
#
firewall-cmd --permanent --zone=public --add-rich-rule='
rule family="ipv4"
source address="192.168.0.0/16" accept';サービスの追加
#
firewall-cmd --zone=public --add-service=https
#
firewall-cmd --permanent --zone=public --add-service=https
ファイアウォール構成の再ロード
#
firewall-cmd --reload