1. ルール
設定のこと。
1-1. ランタイムルール
メモリ上に保存されるルール。
firewalldをリスタートすると消える。
1-2. パーマネントルール
ファイル(/etc/firewalld/zones配下)に保存されるルール。
firewalldをリスタートすると、ファイルからルールが読み込まれメモリに展開される。
2. 確認
設定の確認方法を示す。
2-1. ゾーンの確認
ゾーンについて:http://www.server-memo.net/centos-settings/firewalld/firewalld.html#i
firewall-cmd --get-default-zone
2-2. 現在のゾーンの全ての設定を確認
firewall-cmd --list-all
2-3. 全てのゾーンの全ての設定を確認
firewall-cmd --list-all-zones
2-4. ポートへの設定を確認
firewall-cmd --list-ports (--zone=<ゾーン名>) (--permanent)
2-5. サービスへの設定を確認
firewall-cmd --list-services (--zone=<ゾーン名>) (--permanent)
2-6. サービスの一覧を確認
firewall-cmd --get-services #or
ls -lta /usr/lib/firewalld/services/
2-7. 各サービスごとの設定を確認
cat /usr/lib/firewalld/services/ssh.xml
3. 設定
ルールの設定方法を示す。
3-1. サービスの設定
3-1-1. 単純な設定
firewall-cmd --add-service=<サービス名> (--zone=<ゾーン名>) (--permanent)
firewall-cmd --remove-service=<サービス名> (--zone=<ゾーン名>) (--permanent)
--permanentを付けると設定が永続化される。
3-1-2. 複雑な設定
・既存のサービスの設定を書き換える
cp /usr/lib/firewalld/services/hoge.xml /etc/firewalld/services/
vim /etc/firewalld/services/hoge.xml
firewall-cmd --reload #セッションごと完全にリロードしたいなら--complete-reloadを使用する
・新規にサービスを作成する
cp /usr/lib/firewalld/services/hoge.xml /etc/firewalld/services/
mv /etc/firewalld/services/hoge.xml /etc/firewalld/services/fuga.xml
vim /etc/firewalld/services/fuga.xml
firewall-cmd --reload
3-2. ポートの設定
firewall-cmd --add-port=<ポート番号>/<プロトコル> (--zone=<ゾーン名>) (--permanent)
firewall-cmd --remove-port=<ポート番号>/<プロトコル> (--zone=<ゾーン名>) (--permanent)
3-3. ゾーンの設定
3-3-1. デフォルトゾーンの変更
firewall-cmd --set-default-zone=<ゾーン名>
3-3-2. NICに割り当てられているゾーンを変更
・一時的に変更
firewall-cmd --zone=<ゾーン名> --change-interface=<NIC名>
・永続的に変更
vim /etc/sysconfig/network-scripts/ifcfg-<NIC名>
vim
+ ZONE=<ゾーン名>
systemctl restart network