firewalldに感謝
CentOS7から使用できるとてもありがたい存在、そしてCentOSサーバー初心者が必ず出会う存在。
簡単に説明するとシステムのセキュリティを強化し、トラフィックの制御を行ってくれます。
感謝するまでの経緯
ssh用portの変更
ssshd_configのPortを弄っても接続できず調べた所が始まりでした。
configの設定だけでは使用を宣言しているだけでfirewalldの設定によって接続が許されていない状態。
なので/etc/firewalld/zones/public.xmlにPortを追加する事で繋がる様になりました。
<port protocol="tcp" port="[number]"/>
この時点ではpublicにする事で使用可能になるんだなくらいの印象でした。
Apacheのインストール、動作確認
インストールと実行に関しては以下のコマンドによって問題なく行われました。
# sudo yum install httpd
# sudo systemctl start httpd
正しく機能しているかどうかの確認を行う際にhttpのportを開けようとし
# sudo firewall-cmd --add-service=http --permanent
# firewall-cmd --reload
によって開けれたのですが、参考にした記事に気になる文章がありました。
「firewalldにzoneが9つあり」
ここまで書かれてしまうとむしろどんな種類があるのか気になってしまい調べてみました。
firewalldとzone
iptablesに代わるファイアウォール管理ツール
firewalld,zoneの利点
- ネットワークインタフェース(NIC)ごとにzoneを振り分け、異なるセキュリティレベル、ファイアウォールを柔軟に設定する事ができます。
- 新しいサービスやアプリケーションを追加した際に、再起動なしでファイアウォールのルールを適用可能
- customを用いる事で独自のセキュリティ要件に対応する事もできる。
- 異なる要件に対応する為の切り替えが楽
zoneの種類
事前に準備されたzone
drop
- すべての受信ネットワークパケットは破棄、応答はなし。ただし、出力側からのネットワーク接続は可能。
block
- すべての受信ネットワーク接続は拒否、IPv4ではicmp-host-prohibitedメッセージ、IPv6ではicmp6-adm-prohibitedメッセージが返る。このシステム内でのネットワーク接続のみが可能。
public
- 公共の場で使用するためのzone。他のネットワーク上のコンピュータが自分のコンピュータを傷つけないと信頼していない。選択された受信接続のみを受け入れる。
external
- IPv4のマスカレーディングが有効な外部ネットワークでの使用が目的。特定の受信接続のみを受け入れる。他のネットワーク上のコンピュータが自分のコンピュータを傷つけないと信頼していない。
- IPマスカレーディング:一つのIPアドレスをLAN内で複数共有する
dmz
- デミリタリズドゾーン(DMZ)にある公開可能なコンピュータ向けのzone。内部ネットワークへのアクセスは制限。特定の受信接続のみを受け入れます。
- DMZ:外部に公開する為の隔離したネットワーク
work
- 職場のエリアでの使用を目的。他のネットワーク上のコンピュータが自分のコンピュータを傷つけないと信頼している。特定の受信接続のみを受け入れる。
home
- 家庭のエリアでの使用を目的。他のネットワーク上のコンピュータが自分のコンピュータを傷つけないと信頼している。特定の受信接続のみを受け入れる。
internal
- 内部ネットワークでの使用を目的。他のネットワーク上のコンピュータが自分のコンピュータを傷つけないと信頼している。特定の受信接続のみを受け入れる。
trusted
- すべてのネットワーク接続を受け入れる。
まとめ
firewalldは初心者にとても優しく理解しやすいと思います。
もっと気になる人は
を読もう!!!!!