firewalldでの複数の条件を組み合せたルールの作成：Linuxの環境設定に関するメモ：SSブログ

	ブログをはじめるログイン

PostgreSQL 9.1起動時のPe..｜gnome-terminal起動時のエン.. ブログトップ

firewalldでの複数の条件を組み合せたルールの作成　[CentOS] [編集]

CentOS 7.1 の firewalld の設定で、複数の条件を合わせたルールの作成(例えば、ポートとアドレスの指定)に手間取ったため、得られた情報をまとめてみた。
詳細は、以下の通りである。

1. ルールの作成方法

下記のいずれかの機能を使用する。

(1) direct option

(例)
# firewall-cmd [--permanent] --direct --add-rule ipv4 filter INPUT 0 ...

iptables にルールを直接設定するようなものである。
(詳細は firewall-cmd(1) の man ページを参照)

(2) rich rule

(例)
# firewall-cmd --add-rich-rule='rule family="ipv4" ...'

リッチ言語表現を使用したルール設定である。

指定できる主な項目は、下記の通りである。
(リッチ表現の詳細は、firewalld.zone(5) の man ページを参照)

(a) family

設定値: ipv4 | ipv6
指定方法: family="<value>"

(b) source address

設定値: <address>[/<range>]
指定方法: source address="<value>"

source address と同様

(d) port

設定値: {<port>[-<port>]} {tcp | udp}
指定方法: port port="<value_1>" protocol="<value_2>"

(e) action

設定値: accept | reject | drop
指定方法: <value>

2. 使用例

ローカルネット(192.168.0.0/24) からの rsh でのアクセスを許可する。

(1) direct option を使用する場合

(a) 設定

# firewall-cmd --direct --add-rule ipv4 filter INPUT 0 \
-s 192.168.0.0/24 -p tcp --dport 513:514 -j ACCEPT
success

(b) 追加されるルール

# iptables -L
Chain INPUT_direct (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.0.0/24       anywhere      tcp dpt:login:shell

ルールの削除は、--add-rule を --remove-rule に変更して実行する。

(2) rich rule を使用する場合

(a) 設定

# firewall-cmd --add-rich-rule='rule family="ipv4" \
source address="192.168.0.0/24" port port="513-514" protocol="tcp" \
accept'
success

(b) 追加されるルール

# firewall-cmd --list-all
public (default, active)
  interfaces: enp2s0
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="192.168.0.0/24" \
        port port="513-514" protocol="tcp" accept

ルールの削除は、--add-rich-rule を --remove-rich-rule に変更して実行する。

3. 備考

(1) 参考情報

https://access.redhat.com/documentation/ja-JP/\
Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html

(2) 感想

通常は、iptables を使用(firewalld の無効化が必要)した方がよいように思われる。
・http://dan-project.blog.so-net.ne.jp/2015-09-12-1

2015-09-13 22:27 nice!(0) コメント(0) トラックバック(0)
共通テーマ：パソコン・インターネット

nice! 0

コメントの受付は締め切りました

トラックバック 0

PostgreSQL 9.1起動時のPe..｜gnome-terminal起動時のエン.. ブログトップ

日	月	火	水	木	金	土
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

RSS1.0 | RSS2.0

Linuxの環境設定に関するメモ

firewalldでの複数の条件を組み合せたルールの作成　[CentOS] [編集]

nice! 0

コメント 0

トラックバック 0

dandy さん

dandy さんの記事をnice!と思った人 (全18人)

カレンダー

月別表示

最新記事一覧

マイカテゴリー

dandy さんがnice!と思った記事

dandy さんがコメントした記事

最近のコメント

最近トラックバックされた記事

読んでいるブログ(RSS)

検索ボックス

Linuxの環境設定に関するメモ

firewalldでの複数の条件を組み合せたルールの作成 [CentOS] [編集]

nice! 0

コメント 0

トラックバック 0

dandy さん

dandy さんの記事をnice!と思った人 (全18人)

カレンダー

月別表示

最新記事一覧

マイカテゴリー

dandy さんがnice!と思った記事

dandy さんがコメントした記事

最近のコメント

最近トラックバックされた記事

読んでいるブログ(RSS)

検索ボックス

firewalldでの複数の条件を組み合せたルールの作成　[CentOS] [編集]